Exportera historiska data från ArcSight

Den här artikeln beskriver hur du exporterar historiska data från ArcSight. När du har slutfört stegen i den här artikeln kan du välja en målplattform som värd för exporterade data och sedan välja ett inmatningsverktyg för att migrera data.

Du kan exportera data från ArcSight på flera sätt. Valet av exportmetod beror på datavolymerna och den distribuerade ArcSight-miljön. Du kan exportera loggarna till en lokal mapp på ArcSight-servern eller till en annan server som kan nås av ArcSight.

Om du vill exportera data använder du någon av följande metoder:

• ArcSight Event Data Transfer Tool: Använd det här alternativet för stora mängder data, nämligen terabyte (TB).
• lacat-verktyget: Används för datavolymer som är mindre än en TB.

ArcSight-verktyget för händelsedataöverföring

Använd verktyget Händelsedataöverföring för att exportera data från ArcSight Enterprise Security Manager (ESM) version 7.x. Om du vill exportera data från ArcSight Logger använder du lacat-verktyget.

Verktyget Händelsedataöverföring hämtar händelsedata från ESM, vilket gör att du kan kombinera analys med ostrukturerade data utöver CEF-data. Verktyget Händelsedataöverföring exporterar ESM-händelser i tre format: CEF, CSV och nyckel/värde-par.

Så här exporterar du data med hjälp av verktyget Händelsedataöverföring:

1. Installera och konfigurera händelseöverföringsverktyget.

2. Konfigurera loggexporten så att den använder ett CSV-format. Det här kommandot exporterar till exempel data som registrerats mellan 15:45 och 16:45 den 4 maj 2016 till en CSV-fil:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

lacat-verktyget

Använd lacat-verktyget för att exportera data från ArcSight Logger. lacat exporterar CEF-poster från en Logger-arkivfil och skriver ut posterna till stdout. Du kan omdirigera posterna till en fil eller skicka en pipe för ytterligare manipulering med alternativ som grep eller awk.

Så här exporterar du data med lacat-verktyget:

1. Ladda ned lacat-verktyget. För stora mängder data rekommenderar vi att du ändrar skriptet för bättre prestanda. Använd den ändrade versionen.
2. Följ exemplen i lacat-lagringsplatsen om hur du kör skriptet.

Nästa steg

• Välj en Azure-målplattform som värd för exporterade historiska data
• Välj ett datainmatningsverktyg
• Mata in historiska data i målplattformen