從 ArcSight 匯出歷程資料

本文章說明如何從 ArcSight 匯出歷程資料。 完成本文中的步驟之後，您可以選取目標平台來裝載匯出的資料，然後選取擷取工具來移轉資料。

您可以透過數種方式從 ArcSight 匯出資料。 您選取的匯出方法取決於資料磁碟區和已部署的 ArcSight 環境。 您可以將記錄匯出至 ArcSight 伺服器上的本機資料夾，或匯出至 ArcSight 可存取的另一部伺服器。

若要匯出資料，請使用下列其中一種方法：

• ArcSight 事件資料傳輸工具：針對大量資料使用此選項，也就是 TB。
• lacat 工具：用於小於 TB 的資料量。

ArcSight 事件資料傳輸工具

使用事件資料傳輸工具，從 ArcSight 企業安全性管理員 (ESM) 7.x 版本匯出資料。 若要從 ArcSight 記錄器匯出資料，請使用 lacat 公用程式。

事件資料傳輸工具會從 ESM 擷取事件資料，這可讓您結合分析與非結構化資料，以及 CEF 資料。 事件資料傳輸工具會以三種格式匯出 ESM 事件：CEF、CSV 和機碼值組。

若要使用事件資料傳輸工具匯出資料：

1. 安裝和設定事件傳輸工具。

2. 將記錄匯出設定為使用 CSV 格式。 例如，此命令會將 2016 年 5 月 4 日 15：45 到 16：45 之間的記錄資料匯出至 CSV 檔案：

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

lacat 公用程式

使用 lacat 公用程式從 ArcSight 記錄器匯出資料。 lacat 會從記錄器封存檔案匯出 CEF 記錄，並將記錄列印至 stdout。 您可以將記錄重新導向至檔案，或使用 例如 grep 或 awk 之類的選項，以管道傳送檔案來進一步操作。

若要使用 lacat 公用程式匯出資料：

1. 下載 lacat 公用程式。 對於大量資料，我們建議您修改指令碼以提升效能。 使用修改版本。
2. 請追隨 lacat 存放庫中的範例，以了解執行指令碼的方法。

下一步

• 選取目標 Azure 平台來裝載匯出的歷程資料
• 選取資料擷取工具
• 將歷程資料擷取到目標平台