你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将历史数据引入目标平台

在前面的文章中，你为历史数据选择了目标平台。 你还选择了用于传输数据的工具，并已将历史数据存储在暂存位置。 现在可以开始将数据引入目标平台。

本文介绍如何将历史数据引入所选的目标平台。

从旧版 SIEM 导出数据

通常，SIEM 可将数据导出或转储到本地文件系统中的文件，因此你可以使用此方法来提取历史数据。 为导出的文件设置暂存位置也很重要。 用于传输数据引入的工具可将暂存位置中的文件复制到目标平台。

下图显示了概要性的导出和引入过程。

若要从当前 SIEM 导出数据，请参阅以下部分之一：

• 从 ArcSight 导出数据
• 从 Splunk 导出数据
• 从 QRadar 导出数据

引入 Azure 数据资源管理器

若要将历史数据引入 Azure 数据资源管理器 (ADX)（上图中的选项 1），请执行以下操作：

1. 在日志导出到的系统上安装并配置 LightIngest，或者在可以访问导出的日志的另一个系统上安装 LightIngest。 LightIngest 仅支持 Windows。
2. 如果你没有现有的 ADX 群集，请创建一个新群集并复制连接字符串。 了解如何设置 ADX。
3. 在 ADX 中，创建表并定义 CSV 或 JSON 格式的架构（用于 QRadar）。 了解如何创建表并定义使用示例数据或不使用示例数据的架构。
4. 运行 LightIngest，使用包含导出日志的文件夹路径作为路径，并将 ADX 连接字符串作为输出。 运行 LightIngest 时，请确保提供目标 ADX 表名称，参数模式设置为 *.csv，格式设置为 .csv（或者为 QRadar 设置 json）。

将数据引入 Microsoft Sentinel 基本日志

若要将历史数据引入 Microsoft Sentinel 基本日志（上图中的选项 2），请执行以下操作：

1. 如果你没有现有的 Log Analytics 工作区，请创建一个新工作区并安装 Microsoft Sentinel。

2. 创建应用注册以针对 API 进行身份验证。

3. 创建一个自定义日志表用于存储数据，并提供数据样本。 在此步骤中，还可以在引入数据之前定义转换。

4. 从数据收集规则收集信息并为规则分配权限。

5. 将表从 Analytics 更改为基本日志。

6. 运行自定义日志引入脚本。 该脚本要求提供以下详细信息：

   • 要引入的日志文件的路径
   • Microsoft Entra 租户 ID
   • 应用程序 ID
   • 应用程序机密
   • DCE 终结点（使用 DCR 的日志引入终结点 URI）
   • DCR 不可变 ID
   • 来自 DCR 的数据流名称

   该脚本返回已发送到工作区的事件数。

引入到 Azure Blob 存储

若要将历史数据引入 Azure Blob 存储（上图中的选项 3），请执行以下操作：

1. 在要将日志导出到的系统上安装并配置 AzCopy。 或者，在可以访问导出的日志的另一个系统上安装 AzCopy。
2. 创建 Azure Blob 存储帐户，并复制授权的 Microsoft Entra ID 凭据或共享访问签名令牌。
3. 使用包含导出的日志作为源、包含 Azure Blob 存储连接字符串作为输出的文件夹路径运行 AzCopy。

后续步骤

在本文中，你已了解如何将数据引入目标平台。

将仪表板转换为工作簿