Export historických dat z QRadar

Tento článek popisuje, jak exportovat historická data z QRadar. Po dokončení kroků v tomto článku můžete vybrat cílovou platformu , která bude hostovat exportovaná data, a pak vybrat nástroj pro příjem dat pro migraci dat.

Diagram znázorňující kroky spojené s exportem a příjmem dat

K exportu dat QRadar použijete rozhraní REST API QRadar ke spuštění dotazů Ariel Query Language (AQL) na data uložená v databázi Ariel. Vzhledem k tomu, že je proces exportu náročný na prostředky, doporučujeme v dotazech používat malé časové rozsahy a migrovat jenom data, která potřebujete.

Vytvoření dotazu AQL

  1. V konzole QRadar vyberte kartu Aktivita protokolu .

  2. Vytvořte nový vyhledávací dotaz AQL nebo vyberte uložený vyhledávací dotaz pro export dat. Ujistěte se, že dotaz obsahuje START a STOP funkce pro nastavení data a časového rozsahu.

    Naučte se používat AQL a jak ukládat kritéria hledání v AQL.

  3. Zkopírujte dotaz AQL pro pozdější použití.

  4. Kódujte dotaz AQL do formátu zakódovaného na adresu URL. Vložte dotaz, který jste zkopírovali v kroku 3 , do dekodéru. Zkopírujte zakódovaný výstup formátu.

Spuštění vyhledávacího dotazu

Vyhledávací dotaz můžete spustit pomocí jedné z těchto metod.

Spuštění vyhledávacího dotazu:

  1. Přihlaste se k systému, ze kterého si stáhnete historická data. Ujistěte se, že tento systém má přístup ke konzole QRadar a rozhraní API QRadar na tcp/443 přes HTTPS.

  2. Pokud chcete spustit vyhledávací dotaz, který načte historická data, otevřete příkazový řádek a spusťte jeden z těchto příkazů:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      Doba provádění úlohy vyhledávání se může lišit v závislosti na časovém rozsahu AQL a množství dotazovaných dat. Doporučujeme spustit dotaz v malých časových rozsahech a dotazovat se jenom na data, která potřebujete k exportu.

      Výstup by měl vrátit stav, například COMPLETED, EXECUTE, WAITprogress hodnotu a search_id hodnotu. Příklad:

      Snímek obrazovky s výstupem příkazu vyhledávacího dotazu

  3. Zkopírujte hodnotu v search_id poli. Toto ID použijete ke kontrole průběhu a stavu provádění vyhledávacího dotazu a ke stažení výsledků po dokončení provádění hledání.

  4. Pokud chcete zkontrolovat stav a průběh hledání, spusťte jeden z těchto příkazů:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Zkontrolujte výstup. Pokud je COMPLETEDhodnota v status poli , pokračujte dalším krokem. Pokud stav není COMPLETED, zkontrolujte hodnotu v progress poli a po 5 až 10 minutách spusťte příkaz, který jste spustili v kroku 4.

  6. Zkontrolujte výstup a ujistěte se, že je COMPELETEDstav .

  7. Spuštěním jednoho z těchto příkazů stáhněte výsledky nebo vrácená data ze souboru JSON do složky v aktuálním systému:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Pokud chcete načíst data, která potřebujete exportovat, vytvořte dotaz AQL (kroky 1–4) a znovu spusťte dotaz (kroky 1 až 7). Upravte časový rozsah a vyhledávací dotazy, abyste získali potřebná data.

Další kroky