Sdílet prostřednictvím

Export historických dat z QRadar

  • Článek

Tento článek popisuje, jak exportovat historická data z QRadar. Po dokončení kroků v tomto článku můžete vybrat cílovou platformu , která bude hostovat exportovaná data, a pak vybrat nástroj pro příjem dat pro migraci dat.

Diagram znázorňující kroky související s exportem a příjmem dat

K exportu dat QRadar použijete rozhraní REST API QRadar ke spuštění dotazů Ariel Query Language (AQL) na data uložená v databázi Ariel. Vzhledem k tomu, že proces exportu je náročný na prostředky, doporučujeme v dotazech používat malé časové rozsahy a migrovat jenom potřebná data.

Vytvoření dotazu AQL

  1. V konzole QRadar vyberte kartu Aktivita protokolu.

  2. Vytvořte nový vyhledávací dotaz AQL nebo vyberte uložený vyhledávací dotaz pro export dat. Ujistěte se, že dotaz obsahuje funkce START pro STOP nastavení data a časového rozsahu.

    Naučte se používat AQL a jak ukládat kritéria hledání v AQL.

  3. Zkopírujte dotaz AQL pro pozdější použití.

  4. Zakódujte dotaz AQL do formátu zakódovaného na adresu URL. Vložte dotaz, který jste zkopírovali v kroku 3 , do dekodéru. Zkopírujte kódovaný výstup formátu.

Spuštění vyhledávacího dotazu

Vyhledávací dotaz můžete spustit pomocí jedné z těchto metod.

  • ID uživatele konzoly QRadar Pokud chcete tuto metodu použít, ujistěte se, že id uživatele konzoly používané pro migraci dat je přiřazeno k profilu zabezpečení, který má přístup k datům potřebným k exportu.
  • Token rozhraní API. Chcete-li použít tuto metodu, vygenerujte token rozhraní API v QRadar.

Spuštění vyhledávacího dotazu:

  1. Přihlaste se k systému, ze kterého si stáhnete historická data. Ujistěte se, že tento systém má přístup ke konzole QRadar a rozhraní API QRadar na tcp/443 přes PROTOKOL HTTPS.

  2. Pokud chcete spustit vyhledávací dotaz, který načte historická data, otevřete příkazový řádek a spusťte jeden z těchto příkazů:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      Doba provádění úlohy vyhledávání se může lišit v závislosti na časovém rozsahu AQL a množství dotazovaných dat. Doporučujeme spustit dotaz v malých časových rozsazích a dotazovat se jenom na data, která potřebujete pro export.

      Výstup by měl vrátit stav, například COMPLETED, EXECUTE, WAITprogress hodnotu a search_id hodnotu. Příklad:

      Snímek obrazovky s výstupem příkazu vyhledávacího dotazu

  3. Zkopírujte hodnotu v search_id poli. Toto ID použijete ke kontrole průběhu a stavu provádění vyhledávacího dotazu a ke stažení výsledků po dokončení provádění hledání.

  4. Pokud chcete zkontrolovat stav a průběh hledání, spusťte jeden z těchto příkazů:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. Zkontrolujte výstup. Pokud je COMPLETEDhodnota v status poli , pokračujte dalším krokem. Pokud stav není COMPLETED, zkontrolujte hodnotu v progress poli a po 5 až 10 minutách spusťte příkaz, který jste spustili v kroku 4.

  6. Zkontrolujte výstup a ujistěte se, že je COMPLETEDstav .

  7. Spuštěním jednoho z těchto příkazů stáhněte výsledky nebo vrácená data ze souboru JSON do složky v aktuálním systému:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. Pokud chcete načíst data, která potřebujete exportovat, vytvořte dotaz AQL (kroky 1–4) a spusťte dotaz znovu (kroky 1 až 7). Upravte časový rozsah a vyhledávací dotazy, abyste získali potřebná data.

Další kroky