Share via

Gearchiveerde logboeken herstellen vanuit de zoekfunctie

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Herstel gegevens uit een gearchiveerd logboek voor gebruik in query's en analyses met hoge prestaties.

Voordat u gegevens in een gearchiveerd logboek herstelt, raadpleegt u Een onderzoek starten door te zoeken naar grote gegevenssets (preview) en Herstellen in Azure Monitor.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Gearchiveerde logboekgegevens herstellen

Als u gearchiveerde logboekgegevens in Microsoft Sentinel wilt herstellen, geeft u de tabel en het tijdsbereik op voor de gegevens die u wilt herstellen. Binnen enkele minuten zijn de logboekgegevens beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die ondersteuning bieden voor volledige Kusto-querytaal (KQL).

U kunt gearchiveerde gegevens rechtstreeks herstellen vanaf de zoekpagina of vanuit een opgeslagen zoekopdracht.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Zoeken onder Algemeen.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Search.

  2. Logboekgegevens op twee manieren herstellen:

    • Selecteer Boven aan de zoekpagina de optie Herstellen. Schermopname van de knop Herstellen boven aan de zoekpagina.
    • Selecteer het tabblad Opgeslagen zoekopdrachten en Herstel bij de juiste zoekopdracht. Schermopname van de herstelkoppeling voor een opgeslagen zoekopdracht.

  3. Selecteer de tabel die u wilt herstellen.

  4. Selecteer het tijdsbereik van de gegevens die u wilt herstellen.

  5. Selecteer Terugzetten.

    Schermopname van de herstelpagina met tabel en tijdsbereik geselecteerd.

  6. Wacht totdat de logboekgegevens zijn hersteld. Bekijk de status van uw hersteltaak door op het tabblad Herstel te selecteren.

Herstelde logboekgegevens weergeven

Bekijk de status en resultaten van het herstellen van logboekgegevens door naar het tabblad Herstel te gaan. U kunt de herstelde gegevens weergeven wanneer de status van de hersteltaak Gegevens beschikbaar toont.

  1. Selecteer In Microsoft Sentinel de optie Zoekherstel>.

    Schermopname van het tabblad Herstel op de zoekpagina.

  2. Wanneer de hersteltaak is voltooid, selecteert u de tabelnaam.

    Schermopname van rijen met voltooide hersteltaken en een geselecteerde tabel.

  3. Controleer de resultaten.

    Schermopname van het deelvenster Logboekquery met de herstelde tabelresultaten.

    In het deelvenster Logboekquery ziet u de naam van de tabel met de herstelde gegevens. Het tijdsbereik is ingesteld op een aangepast tijdsbereik dat gebruikmaakt van de begin- en eindtijden van de herstelde gegevens.

Herstelde gegevenstabellen verwijderen

Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt. Wanneer u een herstelde tabel verwijdert, worden de onderliggende brongegevens niet door Azure verwijderd.

  1. Selecteer In Microsoft Sentinel de optie Zoekherstel>.

  2. Identificeer de tabel die u wilt verwijderen.

  3. Selecteer Verwijderen voor die tabelrij.

    Schermopname van het tabblad Herstel met de knop Verwijderen in elke rij.

Volgende stappen