Partager via


Exporter des données historiques à partir de QRadar

Cet article explique comment exporter vos données historiques à partir de QRadar. Après avoir suivi les étapes décrites dans cet article, vous pouvez sélectionner une plateforme cible pour héberger les données exportées, puis sélectionner un outil d’ingestion pour migrer les données.

Diagramme illustrant les étapes impliquées dans l’exportation et l’ingestion des données.

Pour exporter vos données QRadar, vous utilisez l’API REST QRadar pour exécuter des requêtes AQL (Ariel Query Language) sur les données stockées dans une base de données Ariel. Étant donné que le processus d’exportation nécessite beaucoup de ressources, nous vous recommandons d’utiliser de petites plages de temps dans vos requêtes et de migrer uniquement les données dont vous avez besoin.

Créer une requête AQL

  1. Dans la console QRadar, sélectionnez l’onglet Activité du journal.

  2. Créez une requête de recherche AQL ou sélectionnez une requête de recherche enregistrée pour exporter les données. Vérifiez que la requête inclut les fonctions START et STOP fonctions pour définir l’intervalle de date et d’heure.

    Découvrez comment utiliser AQL et comment enregistrer des critères de recherche dans AQL.

  3. Copiez la requête AQL pour une utilisation ultérieure.

  4. Encodez la requête AQL au format d’URL encodée. Collez la requête que vous avez copiée à l’étape 3 dans le décodeur. Copiez la sortie de format encodée.

Exécuter une requête de recherche

Vous pouvez exécuter la requête de recherche à l’aide de l’une de ces méthodes.

  • ID utilisateur de la console QRadar. Pour utiliser cette méthode, assurez-vous que l’ID utilisateur de la console utilisé pour la migration de données est affecté à un profil de sécurité qui peut accéder aux données dont vous avez besoin pour l’exportation.
  • Jeton d’API. Pour utiliser cette méthode, générez un jeton d’API dans QRadar.

Pour exécuter la requête de recherche :

  1. Connectez-vous au système à partir duquel vous allez télécharger les données historiques. Vérifiez que ce système a accès à la console QRadar et à l’API QRadar sur TCP/443 via HTTPS.

  2. Pour exécuter la requête de recherche qui récupère les données historiques, ouvrez une invite de commandes et exécutez l’une des commandes suivantes :

    • Pour la méthode d’ID utilisateur de la console QRadar, exécutez :

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Pour la méthode de jeton d’API, exécutez :

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      Le temps d’exécution du travail de recherche peut varier en fonction de l’intervalle de temps AQL et de la quantité de données interrogées. Nous vous recommandons d’exécuter la requête dans de petits intervalles de temps et d’interroger uniquement les données dont vous avez besoin pour l’exportation.

      La sortie doit retourner un état, tel que COMPLETED, EXECUTE ou WAIT, une valeur progress et une valeur search_id. Par exemple :

      Capture d’écran de la sortie de la commande de requête de recherche.

  3. Copiez la valeur dans le champ search_id. Vous utiliserez cet ID pour vérifier la progression et l’état de l’exécution de la requête de recherche et pour télécharger les résultats une fois l’exécution de la recherche terminée.

  4. Pour vérifier l’état et la progression de la recherche, exécutez l’une des commandes suivantes :

    • Pour la méthode d’ID utilisateur de la console QRadar, exécutez :

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Pour la méthode de jeton d’API, exécutez :

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Passez en revue la sortie. Si la valeur du champ status est COMPLETED, passez à l’étape suivante. Si l’état n’est pas COMPLETED, vérifiez la valeur dans le champ progress et après 5 à 10 minutes, exécutez la commande que vous avez exécutée à l’étape 4.

  6. Passez en revue la sortie et vérifiez que l’état est COMPLETED.

  7. Exécutez l’une de ces commandes pour télécharger les résultats ou les données retournées à partir du fichier JSON dans un dossier sur le système actuel :

    • Pour la méthode d’ID utilisateur de la console QRadar, exécutez :

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Pour la méthode de jeton d’API, exécutez :

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Pour récupérer les données que vous devez exporter, créez la requête AQL (étapes 1 à 4) et réexécutez la requête (étapes 1 à 7). Ajustez l’intervalle de temps et les requêtes de recherche pour obtenir les données dont vous avez besoin.

Étapes suivantes