تصدير البيانات التاريخية من QRadar
توضح هذه المقالة كيفية تصدير بياناتك التاريخية من QRadar. بعد إكمال الخطوات الواردة في هذه المقالة، يمكنك تحديد نظام أساسي هدف لاستضافة البيانات المصدرة، ثم تحديد أداة استيعاب لترحيل البيانات.
لتصدير بيانات QRadar الخاصة بك، يمكنك استخدام QRadar واجهة برمجة تطبيقات REST لتشغيل استعلامات لغة Ariel Query (AQL) على البيانات المخزنة في قاعدة بيانات Ariel. نظرًا إلى أن عملية التصدير تتطلب موارد كثيرة، فإننا نوصي باستخدام نطاقات زمنية صغيرة في استعلاماتك، وترحيل البيانات التي تحتاجها فقط.
أنشئ استعلام AQL
في وحدة تحكم QRadar، حدد علامة التبويب سجل النشاط.
أنشئ استعلام بحث AQL جديدًا أو حدد استعلام بحث محفوظًا لتصدير البيانات. تأكد من أن الاستعلام يتضمن وظائف
STARTوSTOPلتعيين نطاق التاريخ والوقت.تعرّف على كيفية استخدام AQL وكيفية حفظ معايير البحث في AQL.
انسخ استعلام AQL لاستخدامه لاحقًا.
قم بتشفير استعلام AQL إلى تنسيق URL المشفر. الصق الاستعلام الذي نسخته في الخطوة 3 في وحدة فك الترميز. انسخ إخراج التنسيق المشفر.
تنفيذ طلب البحث
يمكنك تنفيذ استعلام البحث عن طريق إحدى هذه الطرق.
- معرف مستخدم وحدة عناصر تحكم QRadar. لاستخدام هذه الطريقة، تأكد من تعيين معرف مستخدم وحدة التحكم المستخدم لترحيل البيانات إلى ملف تعريف الأمان الذي يمكنه الوصول إلى البيانات التي تحتاجها للتصدير.
- رمز مميز لواجهة برمجة التطبيقات. لاستخدام هذه الطريقة، قم بإنشاء رمز مميز لواجهة برمجة التطبيقات في QRadar.
ولتنفيذ استعلام البحث:
قم بتسجيل الدخول إلى النظام الذي ستقوم بتنزيل البيانات التاريخية منه. تأكد من أن هذا النظام لديه حق الوصول إلى وحدة تحكم QRadar وواجهة برمجة التطبيقات QRadar على TCP / 443 عبر HTTPS.
لتنفيذ استعلام البحث الذي يسترد البيانات التاريخية، افتح موجه الأوامر وقم بتشغيل أحد هذه الأوامر:
وبالنسبة إلى طريقة معرف مستخدم وحدة تحكم QRadar، قم بتشغيل:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'وبالنسبة إلى طريقة رمز مميز لواجهة برمجة التطبيقات، قم بتشغيل:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>قد يختلف وقت تنفيذ مهمة البحث، اعتمادًا على النطاق الزمني لـ AQL وكمية البيانات المطلوبة. ننصح بتشغيل الاستعلام في نطاقات زمنية صغيرة، والاستعلام فقط عن البيانات التي تحتاجها للتصدير.
يجب أن يُرجع الإخراج حالة، مثل
COMPLETED،EXECUTE،WAIT، وقيمةprogress، وقيمةsearch_id. على سبيل المثال:
انسخ القيمة في الحقل
search_id. ستستخدم هذا المعرّف للتحقق من تقدم وحالة تنفيذ استعلام البحث، ولتنزيل النتائج بعد اكتمال تنفيذ البحث.للتحقق من حالة وتقدم البحث، قم بتشغيل أحد هذه الأوامر:
وبالنسبة إلى طريقة معرف مستخدم وحدة تحكم QRadar، قم بتشغيل:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'وبالنسبة إلى طريقة رمز مميز لواجهة برمجة التطبيقات، قم بتشغيل:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
راجع الإخراج. إذا كانت القيمة في الحقل
statusهيCOMPLETED، فتابع إلى الخطوة التالية. إذا لم تكن الحالة هيCOMPLETED، فتحقق من القيمة في الحقلprogress، وبعد 5-10 دقائق، قم بتشغيل الأمر الذي قمت بتشغيله في الخطوة 4.ارجع إلى الإخراج وتأكد من أن الحالة هي
COMPELETED.قم بتشغيل أحد هذه الأوامر لتنزيل النتائج أو إرجاع البيانات من ملف JSON إلى مجلد على النظام الحالي:
وبالنسبة إلى طريقة معرف مستخدم وحدة تحكم QRadar، قم بتشغيل:
curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.jsonوبالنسبة إلى طريقة رمز مميز لواجهة برمجة التطبيقات، قم بتشغيل:
curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
ولاسترداد البيانات التي تحتاج إلى تصديرها، قم بإنشاء استعلام AQL (الخطوات 1-4) وقم بتنفيذ الاستعلام (الخطوات من 1 إلى 7) مرة أخرى. اضبط النطاق الزمني وطلبات البحث للحصول على البيانات التي تحتاجها.