重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
安全团队的主要活动之一是搜索特定事件的日志。 例如,可以在日志中搜索给定时间范围内特定用户的活动。
在 Microsoft Sentinel 中,可以使用搜索作业在极大型数据集中长时间进行搜索。 虽然可以对任何类型的日志运行搜索作业,但搜索作业最适合搜索处于长期保留(以前称为存档)状态的日志。 如果需要对此类数据进行全面调查,可以将这些数据还原为交互式保留状态(例如常规 Log Analytics 表),以运行高性能查询和更深入的分析。
搜索大型数据集
开始调查时使用搜索作业在给定时间范围内的日志中查找特定事件。 可以搜索所有日志来并查找符合条件的事件,然后筛选结果。
Microsoft Sentinel 中的搜索建立在搜索作业的基础之上。 搜索作业是提取记录的异步查询。 启动搜索作业后,结果将返回到在 Log Analytics 工作区中创建的搜索表。 搜索作业使用并行处理在非常大的数据集中运行跨长时间跨度的搜索。 因此,搜索作业不会影响工作区的性能或可用性。
搜索结果存储在以 _SRCH 后缀命名的表中。
下图显示了搜索作业的示例搜索条件。
支持的日志类型
使用搜索在以下任何日志类型中查找事件:
还可以搜索长期保留存储的分析数据或基本日志数据。
搜索作业的限制
请参阅 Azure Monitor 文档中的 搜索作业限制 。
从长期存储中还原日志数据
如果需要对长期保留中的日志数据进行全面调查,请从 Microsoft Sentinel 的“搜索”页还原表。 指定要还原的数据的目标表和时间范围。 几分钟内,日志数据就会还原,并在 Log Analytics 工作区中可用。 然后,可以在支持完整 KQL 的高性能查询中使用该数据。
还原的日志表位于一个后缀为 *_RST 的新表中。 只要基础源数据可用,还原的数据就可用。 但是,随时可以删除已还原的表,而无需删除基础源数据。 为了节省成本,建议在不再需要已还原的表时将其删除。
下图显示了已保存搜索的还原选项。
日志还原的限制
请参阅 Azure Monitor 文档中的 “还原限制 ”。
为搜索结果或还原的数据行添加书签
与威胁搜寻仪表板类似,请为包含你感兴趣的信息的行添加书签,以便将它们附加到事件或稍后引用它们。 有关详细信息,请参阅创建书签。