Dela via

Exportera historiska data från QRadar

  • Artikel

Den här artikeln beskriver hur du exporterar historiska data från QRadar. När du har slutfört stegen i den här artikeln kan du välja en målplattform som värd för exporterade data och sedan välja ett inmatningsverktyg för att migrera data.

Diagram som illustrerar steg som ingår i export och inmatning.

Om du vill exportera dina QRadar-data använder du QRadar REST API för att köra AQL-frågor (Ariel Query Language) på data som lagras i en Ariel-databas. Eftersom exportprocessen är resursintensiv rekommenderar vi att du använder små tidsintervall i dina frågor och endast migrerar de data du behöver.

Skapa AQL-fråga

  1. I QRadar-konsolen väljer du fliken Loggaktivitet .

  2. Skapa en ny AQL-sökfråga eller välj en sparad sökfråga för att exportera data. Kontrollera att frågan innehåller START funktionerna och STOP för att ange datum- och tidsintervallet.

    Lär dig hur du använder AQL och hur du sparar sökvillkor i AQL.

  3. Kopiera AQL-frågan för senare användning.

  4. Koda AQL-frågan till det URL-kodade formatet. Klistra in frågan som du kopierade i steg 3 i avkodaren. Kopiera kodade formatutdata.

Köra sökfråga

Du kan köra sökfrågan med någon av dessa metoder.

  • Användar-ID för QRadar-konsolen. Om du vill använda den här metoden kontrollerar du att konsolanvändar-ID:t som används för datamigrering tilldelas till en säkerhetsprofil som kan komma åt de data du behöver för exporten.
  • API-token. Om du vill använda den här metoden genererar du en API-token i QRadar.

Så här kör du sökfrågan:

  1. Logga in på systemet där du laddar ned historiska data. Kontrollera att det här systemet har åtkomst till QRadar-konsolen och QRadar-API:et på TCP/443 via HTTPS.

  2. Om du vill köra sökfrågan som hämtar historiska data öppnar du en kommandotolk och kör något av följande kommandon:

    • Kör för QRadar-konsolens användar-ID-metod:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • Kör för API-tokenmetoden:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      Körningstiden för sökjobbet kan variera beroende på AQL-tidsintervallet och mängden efterfrågade data. Vi rekommenderar att du kör frågan i små tidsintervall och att du bara frågar efter de data du behöver för exporten.

      Utdata ska returnera en status, till exempel COMPLETED, EXECUTE, WAIT, ett progress värde och ett search_id värde. Till exempel:

      Skärmbild av utdata från kommandot sökfråga.

  3. Kopiera värdet i fältet search_id . Du använder det här ID:t för att kontrollera förloppet och statusen för körningen av sökfrågan och för att ladda ned resultaten när sökkörningen har slutförts.

  4. Om du vill kontrollera statusen och förloppet för sökningen kör du något av följande kommandon:

    • Kör för QRadar-konsolens användar-ID-metod:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • Kör för API-tokenmetoden:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. Granska utdata. Om värdet i fältet status är COMPLETEDfortsätter du till nästa steg. Om statusen inte COMPLETEDär kontrollerar du värdet i progress fältet och kör kommandot som du körde i steg 4 efter 5–10 minuter.

  6. Granska utdata och se till att statusen är COMPLETED.

  7. Kör ett av dessa kommandon för att ladda ned resultatet eller returnerade data från JSON-filen till en mapp i det aktuella systemet:

    • Kör för QRadar-konsolens användar-ID-metod:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • Kör för API-tokenmetoden:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. Om du vill hämta de data som du behöver exportera skapar du AQL-frågan (steg 1–4) och kör frågan (steg 1–7) igen. Justera tidsintervallet och sökfrågorna för att hämta de data du behöver.

Nästa steg