Partilhar via


Exportar dados históricos do QRadar

Este artigo descreve como exportar seus dados históricos do QRadar. Depois de concluir as etapas neste artigo, você pode selecionar uma plataforma de destino para hospedar os dados exportados e, em seguida , selecionar uma ferramenta de ingestão para migrar os dados.

Diagrama ilustrando as etapas envolvidas na exportação e ingestão.

Para exportar seus dados QRadar, use a API REST do QRadar para executar consultas Ariel Query Language (AQL) em dados armazenados em um banco de dados Ariel. Como o processo de exportação consome muitos recursos, recomendamos que você use pequenos intervalos de tempo em suas consultas e migre apenas os dados necessários.

Criar consulta AQL

  1. No QRadar Console, selecione a guia Registrar atividade .

  2. Crie uma nova consulta de pesquisa AQL ou selecione uma consulta de pesquisa salva para exportar os dados. Certifique-se de que a consulta inclui as START funções e STOP para definir o intervalo de data e hora.

    Saiba como usar o AQL e como salvar critérios de pesquisa no AQL.

  3. Copie a consulta AQL para uso posterior.

  4. Codifique a consulta AQL para o formato codificado por URL. Cole a consulta copiada na etapa 3 no decodificador. Copie a saída do formato codificado.

Executar consulta de pesquisa

Você pode executar a consulta de pesquisa usando um desses métodos.

  • ID de usuário do QRadar Console. Para usar esse método, certifique-se de que o ID de usuário do console que está sendo usado para a migração de dados seja atribuído a um perfil de segurança que possa acessar os dados necessários para a exportação.
  • Token de API. Para usar esse método, gere um token de API no QRadar.

Para executar a consulta de pesquisa:

  1. Faça login no sistema a partir do qual você baixará os dados históricos. Certifique-se de que este sistema tem acesso ao QRadar Console e QRadar API no TCP/443 via HTTPS.

  2. Para executar a consulta de pesquisa que recupera os dados históricos, abra um prompt de comando e execute um destes comandos:

    • Para o método de ID de usuário do QRadar Console, execute:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Para o método de token de API, execute:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      O tempo de execução do trabalho de pesquisa pode variar, dependendo do intervalo de tempo do AQL e da quantidade de dados consultados. Recomendamos que você execute a consulta em pequenos intervalos de tempo e consulte apenas os dados necessários para a exportação.

      A saída deve retornar um status, como COMPLETED, EXECUTE, WAIT, um progress valor e um search_id valor. Por exemplo:

      Captura de ecrã da saída do comando de consulta de pesquisa.

  3. Copie o search_id valor no campo. Você usará esse ID para verificar o progresso e o status da execução da consulta de pesquisa e para baixar os resultados após a conclusão da execução da pesquisa.

  4. Para verificar o status e o progresso da pesquisa, execute um destes comandos:

    • Para o método de ID de usuário do QRadar Console, execute:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Para o método de token de API, execute:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Reveja a saída. Se o status valor no campo for COMPLETED, continue para a próxima etapa. Se o status não COMPLETEDfor , verifique o progress valor no campo e, após 5-10 minutos, execute o comando executado na etapa 4.

  6. Revise a saída e verifique se o status é COMPLETED.

  7. Execute um destes comandos para baixar os resultados ou dados retornados do arquivo JSON para uma pasta no sistema atual:

    • Para o método de ID de usuário do QRadar Console, execute:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Para o método de token de API, execute:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Para recuperar os dados que você precisa exportar, crie a consulta AQL (etapas 1-4) e execute a consulta (etapas 1-7) novamente. Ajuste o intervalo de tempo e as consultas de pesquisa para obter os dados de que precisa.

Próximos passos