重要
注意:根据由世纪互联发布的公告,所有Microsoft Sentinel功能将在2026年8月18日正式在中国地区的Azure上停用。
安全团队的主要活动之一是搜索特定事件的日志。 例如,可以在日志中搜索给定时间范围内特定用户的活动。
在 Microsoft Sentinel 中,可以使用搜索任务在非常大的数据集中跨长时间进行搜索。 虽然可以对任何类型的日志运行搜索作业,但搜索作业最适合搜索处于长期保留(以前称为存档)状态的日志。 如果需要对此类数据进行全面调查,可以将这些数据还原为交互式保留状态(如常规Log Analytics表),以运行高性能查询和更深入的分析。
搜索大型数据集
使用搜索作业检索长期 保留中存储的数据,或者扫描大量数据(如果日志查询超时 10 分钟不足)。 搜索作业是异步查询,用于将记录提取到Log Analytics工作区中的搜索表中。 搜索作业使用并行处理在非常大的数据集中跨较长时间跨度进行搜索,因此搜索作业不会影响工作区的性能或可用性。
搜索结果存储在以 _SRCH 后缀命名的表中。
此图显示了搜索任务的示例搜索条件。
从长期存储中还原日志数据
需要对长期保留中的日志数据进行全面调查时,请从 Microsoft Sentinel 中的 Search 页还原表。 指定要还原的数据的目标表和时间范围。 几分钟内,日志数据将还原并在Log Analytics工作区中可用。 然后,可以在支持完整 KQL 的高性能查询中使用该数据。
还原的日志表位于一个后缀为 *_RST 的新表中。 只要基础源数据可用,还原的数据就可用。 但是,随时可以删除已还原的表,而无需删除基础源数据。 为了节省成本,建议在不再需要已还原的表时将其删除。
下图显示了已保存搜索的还原选项。
日志还原的限制
请参阅 Azure Monitor 文档中的 Restore 限制。
为搜索结果或还原的数据行添加书签
与威胁搜寻仪表板类似,请为包含你感兴趣的信息的行添加书签,以便将它们附加到事件或稍后引用它们。 有关详细信息,请参阅创建书签。