大規模なデータセットで長期間にわたって検索する

最長 7 年前のログに対して特定のイベントを見つけるための調査を開始するときに、検索ジョブを使います。 Analytics、Basic、Archived の各ログ プランのイベントを含め、すべてのログを対象にイベントを検索できます。 イベントをフィルター処理し、条件に一致するイベントを探します。

• 検索ジョブの概念と制限の詳細については、「大規模なデータセット内のイベントを検索して調査を開始する」と「Azure Monitor の検索ジョブ」を参照してください。

• 特定のデータ セットに対する検索ジョブで、追加料金が発生する場合があります。 詳細については、Microsoft Sentinel の価格ページを参照してください。

検索ジョブを開始する

Azure portal または Microsoft Defender ポータルから Microsoft Sentinel の [検索] に移動し、検索条件を入力します。 ターゲット データセットのサイズに応じて検索時間は変わります。 ほとんどの検索ジョブは数分で完了しますが、最長で 24 時間かかる大規模なデータ セットの検索もサポートされています。

1. Azure portal の Microsoft Sentinel の場合、[全般] の下にある [検索] を選択します。
   Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[検索] を選択します。

2. [テーブル] メニューを選び、検索対象のテーブルを選びます。

3. [検索] ボックスに検索用語を入力します。

   • Azure Portal
   • Defender ポータル

   

4. [開始] を選択して、高度な Kusto 照会言語 (KQL) エディターを開き、設定された時間範囲の結果のプレビューを表示します。

5. 必要に応じて KQL クエリを変更し、[実行] を選択して、検索結果の更新されたプレビューを取得します。

   

6. クエリと検索結果のプレビューに問題がなければ、... 省略記号を選択し、[検索ジョブ モード] をオンに切り替えます。

   

7. 適切な時間の範囲を選択します。

8. エディター内の赤い波線で示された KQL の問題を解決します。

9. 検索ジョブを開始する準備ができたら、[検索ジョブ] を選択します。

10. 新しいテーブル名を入力して、検索ジョブの結果を格納します。

11. [検索ジョブの実行] を選択します。

12. 通知 [検索ジョブが完了しました] を待ち、結果を表示します。

検索ジョブの結果を表示する

[保存された検索] タブに移動して、検索ジョブの状態と結果を表示します。

1. Microsoft Sentinel で、[検索]>[保存された検索] を選択します。

2. 検索カードで、[検索結果の表示] を選択します。

   

   既定では、元の検索条件に一致する結果すべてが表示されます。

3. 検索テーブルから返された結果の一覧を絞り込むには、[フィルターを追加] を選択します。

4. 検索ジョブ結果を確認しているときに、[ブックマークの追加] を選択するか、ブックマーク アイコンを選んで行を保存します。 ブックマークを追加すると、イベントにタグを付け、メモを追加し、後で参照するためにこれらのイベントをインシデントにアタッチすることができます。

   

5. [列] ボタンを選択し、結果ビューに追加する列の横にあるチェックボックスをオンにします。

6. [ブックマーク設定済み] フィルターを追加し、保存されたエントリのみを表示します。

7. [すべてのブックマークを表示] を選んで [ハンティング] ページに移動します。ここで、既存のインシデントにブックマークを追加できます。

次のステップ

詳細については、以下の記事をお読みください。

• ブックマークを使用して追求する
• アーカイブ済みログを復元する
• データ 保持ポリシーとアーカイブ ポリシーを Azure Monitor ログ (プレビュー) で構成する