Eksportowanie danych historycznych z usługi ArcSight

W tym artykule opisano sposób eksportowania danych historycznych z usługi ArcSight. Po wykonaniu kroków opisanych w tym artykule możesz wybrać platformę docelową do hostowania wyeksportowanych danych, a następnie wybrać narzędzie pozyskiwania w celu przeprowadzenia migracji danych.

Dane z usługi ArcSight można wyeksportować na kilka sposobów. Wybór metody eksportu zależy od woluminów danych i wdrożonego środowiska usługi ArcSight. Dzienniki można wyeksportować do folderu lokalnego na serwerze ArcSight lub na inny serwer dostępny w usłudze ArcSight.

Aby wyeksportować dane, użyj jednej z następujących metod:

• Narzędzie do transferu danych zdarzeń usługi ArcSight: użyj tej opcji w przypadku dużych ilości danych, a mianowicie terabajtów (TB).
• narzędzie lacat: służy do obsługi woluminów danych mniejszych niż TB.

Narzędzie do transferu danych zdarzeń usługi ArcSight

Użyj narzędzia do transferu danych zdarzeń, aby wyeksportować dane z programu ArcSight Enterprise Security Manager (ESM) w wersji 7.x. Aby wyeksportować dane z rejestratora arcsight, użyj narzędzia lacat.

Narzędzie do transferu danych zdarzeń pobiera dane zdarzeń z platformy ESM, co umożliwia łączenie analizy z danymi bez struktury, a także z danymi CEF. Narzędzie do transferu danych zdarzeń eksportuje zdarzenia ESM w trzech formatach: CEF, CSV i key-value.

Aby wyeksportować dane przy użyciu narzędzia do transferu danych zdarzeń:

1. Zainstaluj i skonfiguruj narzędzie do transferu zdarzeń.

2. Skonfiguruj eksport dzienników, aby używał formatu CSV. Na przykład to polecenie eksportuje dane zarejestrowane między 15:45 a 16:45 w dniu 4 maja 2016 r. do pliku CSV:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

narzędzie lacat

Użyj narzędzia lacat, aby wyeksportować dane z rejestratora arcsight. lacat eksportuje rekordy CEF z pliku archiwum rejestratora i drukuje rekordy do stdout. Możesz przekierować rekordy do pliku lub przekazać go potokiem w celu dalszej manipulacji opcjami, takimi jak grep lub awk.

Aby wyeksportować dane za pomocą narzędzia lacat:

1. Pobierz narzędzie lacat. W przypadku dużych ilości danych zalecamy zmodyfikowanie skryptu w celu uzyskania lepszej wydajności. Użyj zmodyfikowanej wersji.
2. Postępuj zgodnie z przykładami w repozytorium lacat, aby dowiedzieć się, jak uruchomić skrypt.

Następne kroki

• Wybieranie docelowej platformy Azure do hostowania wyeksportowanych danych historycznych
• Wybieranie narzędzia do pozyskiwania danych
• Pozyskiwanie danych historycznych do platformy docelowej