你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

从 ArcSight 导出历史数据

本文介绍如何从 ArcSight 导出历史数据。 完成本文中的步骤后，可以选择一个目标平台来托管导出的数据，然后选择一个引入工具来迁移数据。

可以通过多种方式从 ArcSight 导出数据。 选择的导出方法取决于数据量和已部署的 ArcSight 环境。 可以将日志导出到 ArcSight 服务器上的本地文件夹或 ArcSight 可访问的另一台服务器。

若要导出数据，请使用以下方法之一：

• ArcSight 事件数据传输工具：对于大量数据（即 TB 级数据）使用此选项。
• lacat 工具：用于小于 1 TB 的数据量。

ArcSight 事件数据传输工具

使用事件数据传输工具从 ArcSight 企业安全管理器 (ESM) 版本 7.x 导出数据。 若要从 ArcSight 记录器导出数据，请使用 lacat 实用工具。

事件数据传输工具从 ESM 检索事件数据，使得除了 CEF 数据外，还可以将分析与非结构化数据相结合。 事件数据传输工具以三种格式导出 ESM 事件：CEF、CSV 和键值对。

使用事件数据传输工具导出数据：

1. 安装和配置事件传输工具。

2. 将日志导出配置为使用 CSV 格式。 例如，以下命令将 2016 年 5 月 4 日 15:45 到 16:45 之间记录的数据导出到 CSV 文件：

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

lacat 实用工具

使用 lacat 实用工具从 ArcSight 记录器导出数据。 lacat 从记录器存档文件中导出 CEF 记录，并将记录打印到 stdout。 可以将记录重定向到文件，也可以通过管道使用 grep 或 awk 等选项传输文件进行进一步操作。

使用 lacat 实用工具导出数据：

1. 下载 lacat 实用工具。 对于大量数据，建议修改脚本以提高性能。 使用经过修改的版本。
2. 按照 lacat 存储库中的示例了解如何运行脚本。

后续步骤

• 选择目标 Azure 平台来托管导出的历史数据
• 选择数据引入工具
• 将历史数据引入目标平台