ArcSight에서 기록 데이터 내보내기
이 문서에서는 ArcSight에서 기록 데이터를 내보내는 방법을 설명합니다. 이 문서의 단계를 완료한 후 내보낸 데이터를 호스팅할 대상 플랫폼을 선택한 다음 수집 도구를 선택하여 데이터를 마이그레이션할 수 있습니다.
여러 가지 방법으로 ArcSight에서 데이터를 내보낼 수 있습니다. 내보내기 방법의 선택은 데이터 볼륨과 배포된 ArcSight 환경에 따라 달라집니다. 로그를 ArcSight 서버의 로컬 폴더나 ArcSight에서 액세스할 수 있는 다른 서버로 내보낼 수 있습니다.
데이터를 내보내려면 다음 방법 중 하나를 사용합니다.
- ArcSight 이벤트 데이터 전송 도구: 대량의 데이터, 즉 TB(테라바이트)에 이 옵션을 사용합니다.
- lacat 도구: TB보다 작은 데이터 볼륨에 사용합니다.
ArcSight 이벤트 데이터 전송 도구
이벤트 데이터 전송 도구를 사용하여 ArcSight ESM(Enterprise Security Manager) 버전 7.x에서 데이터를 내보냅니다. ArcSight 로거에서 데이터를 내보내려면 lacat 유틸리티를 사용합니다.
이벤트 데이터 전송 도구는 CEF 데이터 외에도 비정형 데이터와 분석을 결합할 수 있는 ESM에서 이벤트 데이터를 검색합니다. 이벤트 데이터 전송 도구는 CEF, CSV 및 키-값 쌍의 세 가지 형식으로 ESM 이벤트를 내보냅니다.
이벤트 데이터 전송 도구를 사용하여 데이터를 내보내려면 다음을 수행합니다.
CSV 형식을 사용하도록 로그 내보내기를 구성합니다. 예를 들어 이 명령은 2016년 5월 4일 15:45에서 16:45 사이에 기록된 데이터를 CSV 파일로 내보냅니다.
arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00"
lacat 유틸리티
lacat 유틸리티를 사용하여 ArcSight 로거에서 데이터를 내보냅니다. lacat은 로거 보관 파일에서 CEF 레코드를 내보내고 레코드를 stdout에 출력합니다. 레코드를 파일로 리디렉션하거나 grep 및 awk와 같은 옵션을 사용하여 추가 조작을 위해 파일을 파이프할 수 있습니다.
lacat 유틸리티를 사용하여 데이터를 내보내려면 다음을 수행합니다.
- lacat 유틸리티를 다운로드합니다. 대량의 데이터의 경우 더 나은 성능을 위해 스크립트를 수정하는 것이 좋습니다. 수정된 버전을 사용합니다.
- 스크립트를 실행하는 방법에 대한 lacat 리포지토리의 예제를 따릅니다.