Export historických dat z ArcSightu
Tento článek popisuje, jak exportovat historická data ze služby ArcSight. Po dokončení kroků v tomto článku můžete vybrat cílovou platformu pro hostování exportovaných dat a pak vybrat nástroj pro příjem dat pro migraci dat.
Data z ArcSightu můžete exportovat několika způsoby. Výběr metody exportu závisí na objemech dat a nasazeném prostředí ArcSight. Protokoly můžete exportovat do místní složky na serveru ArcSight nebo na jiný server přístupný službou ArcSight.
K exportu dat použijte jednu z následujících metod:
- Nástroj pro přenos dat událostí ArcSight: Tuto možnost použijte pro velké objemy dat, konkrétně pro terabajty (TB).
- nástroj lacat: Používá se pro objemy dat menší než TB.
Nástroj pro přenos dat událostí ArcSight
K exportu dat ze služby ArcSight Enterprise Security Manager (ESM) verze 7.x použijte nástroj pro přenos dat událostí. K exportu dat ze služby ArcSight Logger použijte nástroj lacat.
Nástroj Event Data Transfer načítá data událostí z ESM, což umožňuje kromě dat CEF kombinovat analýzu s nestrukturovanými daty. Nástroj Přenos dat událostí exportuje události ESM ve třech formátech: CEF, CSV a páry klíč-hodnota.
Export dat pomocí nástroje Event Data Transfer:
Nakonfigurujte export protokolů tak, aby používal formát CSV. Tento příkaz například exportuje data zaznamenaná mezi 15:45 a 16:45 dne 4. května 2016 do souboru CSV:
arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00"
nástroj lacat
K exportu dat ze služby ArcSight Logger použijte nástroj lacat. lacat exportuje záznamy CEF ze souboru archivu loggeru a vytiskne záznamy do stdout. Záznamy můžete přesměrovat do souboru nebo soubor nasměrovat pro další manipulaci s možnostmi, jako grep je nebo awk.
Export dat pomocí nástroje lacat:
- Stáhněte si nástroj lacat. V případě velkých objemů dat doporučujeme skript upravit, abyste zlepšili výkon. Použijte upravenou verzi.
- Postup spuštění skriptu najdete v příkladech v úložišti lacat.