Esportare dati cronologici da ArcSight

Questo articolo descrive come esportare i dati cronologici da ArcSight. Dopo aver completato la procedura descritta in questo articolo, è possibile selezionare una piattaforma di destinazione per ospitare i dati esportati e quindi selezionare uno strumento di inserimento per eseguire la migrazione dei dati.

È possibile esportare i dati da ArcSight in diversi modi. La selezione di un metodo di esportazione dipende dai volumi di dati e dall'ambiente ArcSight distribuito. È possibile esportare i log in una cartella locale nel server ArcSight o in un altro server accessibile da ArcSight.

Per esportare i dati, usare uno dei metodi seguenti:

• Strumento di trasferimento dati eventi di ArcSight: usare questa opzione per grandi volumi di dati, ovvero terabyte (TB).
• strumento lacat: usare per volumi di dati più piccoli di una TB.

Strumento di trasferimento dati eventi ArcSight

Usare lo strumento Trasferimento dati eventi per esportare i dati da ArcSight Enterprise Security Manager (ESM) versione 7.x. Per esportare i dati da ArcSight Logger, usare l'utilità lacat.

Lo strumento Di trasferimento dati eventi recupera i dati degli eventi da ESM, che consente di combinare l'analisi con dati non strutturati, oltre ai dati CEF. Lo strumento Trasferimento dati eventi esporta gli eventi ESM in tre formati: CEF, CSV e coppie chiave-valore.

Per esportare i dati usando lo strumento Trasferimento dati eventi:

1. Installare e configurare lo strumento di trasferimento eventi.

2. Configurare l'esportazione dei log per usare un formato CSV. Ad esempio, questo comando esporta i dati registrati tra le 15:45 e le 16:45 il 4 maggio 2016 in un file CSV:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

utilità lacat

Usare l'utilità lacat per esportare i dati da ArcSight Logger. lacat esporta record CEF da un file di archivio Logger e stampa i record in stdout. È possibile reindirizzare i record a un file o eseguire la pipe del file per ulteriori manipolazioni con opzioni come grep o awk.

Per esportare i dati con l'utilità lacat:

1. Scaricare l'utilità lacat. Per grandi volumi di dati, è consigliabile modificare lo script per ottenere prestazioni migliori. Usare la versione modificata.
2. Seguire gli esempi nel repository lacat su come eseguire lo script.

Passaggi successivi

• Selezionare una piattaforma di Azure di destinazione per ospitare i dati cronologici esportati
• Selezionare uno strumento di inserimento dati
• Inserire dati cronologici nella piattaforma di destinazione