Exportación de datos históricos desde ArcSight

En este artículo se describe cómo exportar los datos históricos de ArcSight. Después de completar los pasos de este artículo, puede seleccionar una plataforma de destino para hospedar los datos exportados y, a continuación, seleccionar una herramienta de ingesta para migrar los datos.

Puede exportar datos desde ArcSight de varias maneras. La selección de un método de exportación depende de los volúmenes de datos y del entorno de ArcSight implementado. Puede exportar los registros a una carpeta local en el servidor de ArcSight o a otro servidor al que ArcSight pueda acceder.

Para exportar los datos, siga uno de los métodos a continuación:

• Event Data Transfer Tool de ArcSight: Use esta opción para grandes volúmenes de datos, es decir, terabytes (TB).
• Herramienta lacat: Se usa para volúmenes de datos menores que un TB.

Event Data Transfer Tool de ArcSight

Use Event Data Transfer Tool para exportar datos de ArcSight Enterprise Security Manager (ESM) versión 7.x. Para exportar datos desde ArcSight Logger, use la utilidad lacat.

Event Data Transfer Tool recupera de ESM los datos de eventos, lo que permite combinar el análisis con datos no estructurados, además de los datos CEF. Event Data Transfer Tool exporta eventos de ESM en tres formatos: CEF, CSV y pares clave-valor.

Para exportar datos mediante Event Data Transfer Tool:

1. Instale y configure Event Data Transfer Tool.

2. Configure la exportación de registros para usar un formato CSV. Por ejemplo, este comando exporta los datos registrados entre las 15:45 y las 16:45, del 4 de mayo de 2016, a un archivo CSV:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

Utilidad lacat

Use la utilidad lacat para exportar datos de ArcSight Logger. lacat exporta los registros CEF desde un archivo de archivado de Logger e imprime los registros en stdout. Puede redirigir los registros a un archivo o canalizar el archivo para su posterior manipulación con opciones como grep o awk.

Para exportar los datos con la utilidad lacat:

1. Descargue la utilidad lacat. Para grandes volúmenes de datos, se recomienda modificar el script para mejorar el rendimiento. Use la versión modificada.
2. Siga los ejemplos del repositorio de lacat para saber cómo ejecutar el script.

Pasos siguientes

• Selección de una plataforma de Azure de destino para hospedar los datos históricos exportados
• Selección de una herramienta de ingesta de datos
• Ingesta de datos históricos en la plataforma de destino