重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
在开始调查时,请使用搜索任务扫描表中最多一年的数据,以查找特定事件。 可以在任何表(包括具有 Analytics 的表、基本日志计划)上运行搜索作业。 搜索作业将其结果发送到与源数据位于同一工作区的新分析表中。
本文介绍如何在 Microsoft Sentinel 中运行搜索作业,以及如何使用搜索作业结果。
对某些数据集运行搜索作业可能会产生额外的费用。 有关详细信息,请参阅 Microsoft Sentinel 定价页。
开始搜索作业
从 Azure 门户转到 Microsoft Sentinel 中的“搜索”,输入搜索条件。 搜索时间根据目标数据集的大小而异。 虽然大多数搜索作业只需几分钟即可完成,但也支持对巨型数据集的搜索,这种搜索最长需要运行 24 小时。
转到 Azure 门户,在“常规”下选择“搜索”。
选择“表”菜单并选择一个表用于搜索。
在“搜索”框中输入搜索词。
选择“开始”打开高级 Kusto 查询语言 (KQL) 编辑器,并预览所设置时间范围内的结果。
根据需要更改 KQL 查询,然后选择“运行”以获取搜索结果的更新预览。
如果对查询和搜索结果预览感到满意,请选择省略号“...”并打开“搜索作业模式”。
使用 时间范围 选择器指定搜索作业日期范围。 如果查询还指定时间范围,Microsoft Sentinel 在时间范围的并集上运行搜索作业。
解决编辑器中以红色波浪线指示的任何 KQL 问题。
准备好启动搜索作业后,选择“搜索作业”。
输入新的表名以存储搜索作业结果。
选择“运行搜索作业”。
等待出现通知“搜索作业已完成”,以查看结果。
查看搜索作业结果
通过进入“已保存搜索”选项卡查看搜索作业的状态和结果。
在 Microsoft Sentinel 中,选择“搜索”“已保存的搜索”>。
在搜索卡上,选择“查看搜索结果”。
默认情况下,会看到与原始搜索条件匹配的所有结果。
若要细化从搜索表返回的结果列表,请选择“添加筛选器”。
在查看搜索作业结果时,可以选择“添加书签”或选择书签图标以保存某行。 添加书签可以标记事件、添加笔记,并将这些事件附加到某个事件供以后参考。
选择“列”按钮,并选中要添加到结果视图的列旁边的复选框。
添加“已加入书签”筛选器以便仅显示保存的条目。
选择查看所有书签转到搜寻页,可以在其中为现有事件添加书签。
后续步骤
若要了解详细信息,请参阅以下文章。