开始调查时,使用搜索作业在日志中查找七年前的特定事件。 可以在所有日志中搜索事件,包括分析、基本计划和存档日志计划中的事件。 筛选并查找符合条件的事件。
有关搜索作业概念和限制的详细信息,请参阅通过搜索大型数据集开始调查和在 Azure Monitor 中搜索作业。
对某些数据集运行搜索作业可能会产生额外的费用。 有关详细信息,请参阅 Microsoft Sentinel 定价页。
开始搜索作业
从 Azure 门户转到 Microsoft Sentinel 中的“搜索”,输入搜索条件。 搜索时间根据目标数据集的大小而异。 虽然大多数搜索作业只需几分钟即可完成,但也支持对巨型数据集的搜索,这种搜索最长需要运行 24 小时。
转到 Azure 门户,在“常规”下选择“搜索”。
选择“表”菜单并选择一个表用于搜索。
在“搜索”框中输入搜索词。
选择“开始”打开高级 Kusto 查询语言 (KQL) 编辑器,并预览所设置时间范围内的结果。
根据需要更改 KQL 查询,然后选择“运行”以获取搜索结果的更新预览。
如果对查询和搜索结果预览感到满意,请选择省略号“...”并打开“搜索作业模式”。
使用 时间范围 选择器指定搜索作业日期范围。 不要在 KQL 查询中包含时间范围,因为它被忽略。
解决编辑器中以红色波浪线指示的任何 KQL 问题。
准备好启动搜索作业后,选择“搜索作业”。
输入新的表名以存储搜索作业结果。
选择“运行搜索作业”。
等待出现通知“搜索作业已完成”,以查看结果。
查看搜索作业结果
通过进入“已保存搜索”选项卡查看搜索作业的状态和结果。
在 Microsoft Sentinel 中,选择“搜索”“已保存的搜索”>。
在搜索卡上,选择“查看搜索结果”。
默认情况下,会看到与原始搜索条件匹配的所有结果。
若要细化从搜索表返回的结果列表,请选择“添加筛选器”。
在查看搜索作业结果时,可以选择“添加书签”或选择书签图标以保存某行。 添加书签可以标记事件、添加笔记,并将这些事件附加到某个事件供以后参考。
选择“列”按钮,并选中要添加到结果视图的列旁边的复选框。
添加“已加入书签”筛选器以便仅显示保存的条目。
选择查看所有书签转到搜寻页,可以在其中为现有事件添加书签。
后续步骤
若要了解详细信息,请参阅以下文章。