Delen via


Historische gegevens exporteren uit QRadar

In dit artikel wordt beschreven hoe u uw historische gegevens exporteert uit QRadar. Nadat u de stappen in dit artikel hebt voltooid, kunt u een doelplatform selecteren om de geëxporteerde gegevens te hosten en vervolgens een opnamehulpprogramma selecteren om de gegevens te migreren.

Diagram met de stappen die betrokken zijn bij het exporteren en opnemen.

Als u uw QRadar-gegevens wilt exporteren, gebruikt u de QRadar REST API om Ariel Query Language-query's (AQL) uit te voeren op gegevens die zijn opgeslagen in een Ariel-database. Omdat het exportproces resource-intensief is, raden we u aan kleine tijdsbereiken in uw query's te gebruiken en alleen de gegevens te migreren die u nodig hebt.

AQL-query maken

  1. Selecteer in de QRadar-console het tabblad Logboekactiviteit .

  2. Maak een nieuwe AQL-zoekquery of selecteer een opgeslagen zoekquery om de gegevens te exporteren. Zorg ervoor dat de query de START en STOP functies bevat om het datum- en tijdsbereik in te stellen.

    Meer informatie over het gebruik van AQL en het opslaan van zoekcriteria in AQL.

  3. Kopieer de AQL-query voor later gebruik.

  4. Codeer de AQL-query naar de indeling met URL-codering. Plak de query die u in stap 3 hebt gekopieerd in de decoder. Kopieer de gecodeerde indelingsuitvoer.

Zoekquery uitvoeren

U kunt de zoekquery uitvoeren met behulp van een van deze methoden.

  • Gebruikers-id van de QRadar-console. Als u deze methode wilt gebruiken, moet u ervoor zorgen dat de gebruikers-id van de console die wordt gebruikt voor gegevensmigratie is toegewezen aan een beveiligingsprofiel dat toegang heeft tot de gegevens die u nodig hebt voor de export.
  • API-token. Als u deze methode wilt gebruiken, genereert u een API-token in QRadar.

De zoekquery uitvoeren:

  1. Meld u aan bij het systeem waaruit u de historische gegevens downloadt. Zorg ervoor dat dit systeem toegang heeft tot de QRadar-console en QRadar-API op TCP/443 via HTTPS.

  2. Als u de zoekquery wilt uitvoeren waarmee de historische gegevens worden opgehaald, opent u een opdrachtprompt en voert u een van de volgende opdrachten uit:

    • Voer voor de gebruikers-id-methode van de QRadar-console het volgende uit:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Voer voor de API-tokenmethode het volgende uit:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      De uitvoeringstijd van de zoektaak kan variëren, afhankelijk van het AQL-tijdsbereik en de hoeveelheid opgevraagde gegevens. We raden u aan om de query in kleine tijdsbereiken uit te voeren en alleen de gegevens op te vragen die u nodig hebt voor de export.

      De uitvoer moet een status retourneren, zoals COMPLETED, EXECUTE, WAITeen progress waarde en een search_id waarde. Voorbeeld:

      Schermopname van de uitvoer van de zoekqueryopdracht.

  3. Kopieer de waarde in het search_id veld. U gebruikt deze id om de voortgang en status van de uitvoering van de zoekquery te controleren en om de resultaten te downloaden nadat de zoekuitvoering is voltooid.

  4. Voer een van de volgende opdrachten uit om de status en de voortgang van de zoekopdracht te controleren:

    • Voer voor de gebruikers-id-methode van de QRadar-console het volgende uit:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Voer voor de API-tokenmethode het volgende uit:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Controleer de uitvoer. Als de waarde in het status veld is COMPLETED, gaat u verder met de volgende stap. Als de status niet COMPLETEDis, controleert u de waarde in het progress veld en voert u na 5-10 minuten de opdracht uit die u in stap 4 hebt uitgevoerd.

  6. Controleer de uitvoer en controleer of de status is COMPLETED.

  7. Voer een van deze opdrachten uit om de resultaten te downloaden of gegevens van het JSON-bestand te retourneren naar een map op het huidige systeem:

    • Voer voor de gebruikers-id-methode van de QRadar-console het volgende uit:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Voer voor de API-tokenmethode het volgende uit:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Als u de gegevens wilt ophalen die u wilt exporteren, maakt u de AQL-query (stap 1-4) en voert u de query (stap 1-7) opnieuw uit. Pas het tijdsbereik en zoekquery's aan om de gegevens op te halen die u nodig hebt.

Volgende stappen