ArcSight から履歴データをエクスポートする

この記事では、ArcSight から履歴データをエクスポートする方法について説明します。 この記事の手順を完了したら、エクスポートされたデータをホストするターゲット プラットフォームを選択し、それからインジェスト ツールを選択してデータを移行できます。

ArcSight からデータをエクスポートするには、いくつかの方法があります。 エクスポート方法の選択は、データ ボリュームとデプロイされた ArcSight 環境によって異なります。 ログを、ArcSight サーバー上のローカル フォルダーまたは ArcSight からアクセスできる別のサーバーにエクスポートできます。

データをエクスポートするには、次のいずれかの方法を使用します。

• ArcSight イベント データ転送ツール: このオプションは、大量のデータ (テラバイト (TB) レベル) に使用します。
• lacat ツール: TB より小さいボリュームのデータに使用します。

ArcSight イベント データ転送ツール

イベント データ転送ツールを使用して、ArcSight Enterprise Security Manager (ESM) バージョン 7.x からデータをエクスポートします。 ArcSight Logger からデータをエクスポートするには、lacat ユーティリティを使用します。

イベント データ転送ツールは ESM からイベント データを取得します。これにより、CEF データに加えて、非構造化データと分析を組み合わせることができます。 イベント データ転送ツールは、CEF、CSV、キーと値のペアの 3 つの形式で ESM イベントをエクスポートします。

イベント データ転送ツールを使用してデータをエクスポートするには:

1. イベント転送ツールをインストールして構成します。

2. ログ エクスポートを、CSV 形式を使用するように構成します。 たとえば、このコマンドは、2016 年 5 月 4 日の 15:45 から 16:45 の間に記録されたデータを CSV ファイルにエクスポートします。

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

lacat ユーティリティ

lacat ユーティリティを使用して ArcSight Logger からデータをエクスポートします。 lacat は Logger アーカイブ ファイルから CEF レコードをエクスポートし、このレコードを stdout に出力します。 レコードをファイルにリダイレクトしたり、ファイルをパイプして、grep や awk のようなオプションでさらに操作したりできます。

lacat ユーティリティを使用してデータをエクスポートするには:

1. lacat ユーティリティをダウンロードします。 大量のデータがある場合は、パフォーマンスを向上させるためにスクリプトを変更することをお勧めします。 変更されたバージョンを使います。
2. スクリプトの実行方法については、lacat リポジトリの例に従ってください。

次の手順

• エクスポートされた履歴データをホストするターゲット Azure プラットフォームを選択する
• データ インジェスト ツールを選択する
• ターゲット プラットフォームに履歴データを取り込む