Экспорт исторических данных из ArcSight

В этой статье описывается экспорт исторических данных из ArcSight. После выполнения действий, описанных в этой статье, можно выбрать целевую платформу для размещения экспортированных данных, а затем выбрать средство приема для миграции данных.

Данные из ArcSight можно экспортировать несколькими способами. Выбор метода экспорта зависит от томов данных и развернутой среды ArcSight. Журналы можно экспортировать в локальную папку на сервере ArcSight или на другой сервер, доступный из ArcSight.

Чтобы экспортировать данные, используйте один из следующих методов:

• Средство передачи данных событий ArcSight: используйте данный параметр для больших объемов данных, в частности, терабайтов (ТБ).
• Средство lacat: используется для объемов данных менее ТБ.

Средство передачи данных событий ArcSight

Используйте средство передачи данных событий для экспорта данных из ArcSight Enterprise Security Manager (ESM) версии 7.x. Чтобы экспортировать данные из средства ведения журнала ArcSight, используйте служебную программу lacat.

Средство передачи данных событий извлекает данные о событиях из ESM, что позволяет объединять анализ с неструктурированными данными в дополнение к данным CEF. Средство передачи данных событий экспортирует события ESM в трех форматах: CEF, CSV и пары "ключ-значение".

Чтобы экспортировать данные с помощью средства передачи данных о событиях:

1. Установите и настройте средство передачи событий.

2. Настройте экспорт журналов для использования формата CSV. Например, эта команда экспортирует данные, записанные между 15:45 и 16:45 4 мая 2016 г., в CSV-файл:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

Служебная программа lacat

Чтобы экспортировать данные из средства ведения журнала ArcSight, используйте служебную программу lacat. lacat экспортирует записи CEF из архивного файла средства ведения журнала и выводит записи в stdout. Вы можете перенаправить записи в файл или передать файл для дальнейшей работы с такими параметрами, как grep или awk.

Чтобы экспортировать данные с помощью служебной программы lacat:

1. Скачайте служебную программу lacat. Для больших объемов данных рекомендуется изменить скрипт, чтобы повысить производительность. Используйте измененную версию.
2. Изучите примеры в репозитории lacat, чтобы узнать, как запустить скрипт.

Дальнейшие действия

• Выберите целевую платформу Azure для размещения экспортируемых исторических данных
• Выберите средство приема данных
• Осуществите прием исторических данных на целевую платформу