共用方式為

從 QRadar 匯出歷程記錄數據

  • 發行項

本文說明如何從 QRadar 導出歷程記錄數據。 完成本文中的步驟之後,您可以選取目標平台來裝載匯出的資料,然後選取擷取工具來移轉資料。

圖表,其中說明與匯出和擷取有關的步驟。

若要匯出 QRadar 數據,您可以使用 QRadar REST API,針對儲存在 Ariel 資料庫中的數據執行 Ariel 查詢語言 (AQL) 查詢。 由於匯出程式需要大量資源,因此建議您在查詢中使用少量的時間範圍,並只移轉您需要的數據。

建立 AQL 查詢

  1. 在 QRadar 控制台中,選取 [ 記錄活動 ] 索引標籤。

  2. 建立新的 AQL 搜尋查詢,或選取已儲存的搜尋查詢以匯出數據。 請確定查詢包含 和 START STOP 函式,以設定日期和時間範圍。

    瞭解如何使用 AQL ,以及如何 在 AQL 中儲存搜尋準則

  3. 複製 AQL 查詢以供稍後使用。

  4. 將 AQL 查詢編碼為 URL 編碼格式。 將您在步驟 3 中複製的查詢貼到譯碼器中。 複製編碼格式輸出。

執行搜尋查詢

您可以使用下列其中一種方法來執行搜尋查詢。

  • QRadar 控制台用戶標識碼。 若要使用此方法,請確定用於數據遷移的控制台使用者標識碼會指派給 安全性配置檔 ,以存取導出所需的數據。
  • API 令牌。 若要使用此方法, 請在 QRadar 中產生 API 令牌。

若要執行搜尋查詢:

  1. 登入您將從中下載歷程記錄數據的系統。 請確定此系統可透過 HTTPS 存取 TCP/443 上的 QRadar 控制台和 QRadar API。

  2. 若要執行擷取歷程記錄數據的搜尋查詢,請開啟命令提示字元並執行下列其中一個命令:

    • 針對 QRadar 控制台使用者識別碼方法,執行:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • 針對 API 令牌方法,執行:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      搜尋作業運行時間可能會根據 AQL 時間範圍和查詢的數據量而有所不同。 建議您在較小的時間範圍內執行查詢,並只查詢導出所需的數據。

      輸出應該會傳回狀態,例如 COMPLETEDEXECUTEWAITprogress 值和 search_id 值。 例如:

      搜尋查詢命令輸出的螢幕快照。

  3. 複製欄位中的值 search_id 。 您將使用此識別碼來檢查搜尋查詢執行的進度和狀態,並在搜尋執行完成之後下載結果。

  4. 若要檢查搜尋的狀態和進度,請執行下列其中一個命令:

    • 針對 QRadar 控制台使用者識別碼方法,執行:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • 針對 API 令牌方法,執行:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. 檢閱輸出。 如果欄位中的值 statusCOMPLETED,請繼續進行下一個步驟。 如果狀態不是 COMPLETED,請檢查欄位中的值 progress ,並在 5-10 分鐘後執行您在步驟 4 中執行的命令。

  6. 檢閱輸出,並確定狀態為 COMPLETED

  7. 執行下列其中一個命令,將結果或從 JSON 檔案傳回的數據下載到目前系統上的資料夾:

    • 針對 QRadar 控制台使用者識別碼方法,執行:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • 針對 API 令牌方法,執行:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. 若要擷取您需要匯出的數據, 請建立 AQL 查詢 (步驟 1-4),然後 再次執行查詢 (步驟 1-7)。 調整時間範圍和搜尋查詢,以取得您需要的數據。

下一步