Export historických dat z QRadaru
Tento článek popisuje, jak exportovat historická data z QRadar. Po dokončení kroků v tomto článku můžete vybrat cílovou platformu pro hostování exportovaných dat a pak vybrat nástroj pro příjem dat pro migraci dat.
Pokud chcete exportovat data QRadar, použijete rozhraní QRadar REST API ke spouštění dotazů AQL (Ariel Query Language) na data uložená v databázi Ariel. Vzhledem k tomu, že proces exportu je náročný na prostředky, doporučujeme v dotazech používat malé časové rozsahy a migrovat pouze data, která potřebujete.
Vytvoření dotazu AQL
V konzole QRadar vyberte kartu Aktivita protokolu .
Vytvořte nový vyhledávací dotaz AQL nebo vyberte uložený vyhledávací dotaz pro export dat. Ujistěte se, že dotaz obsahuje
START
funkce a proSTOP
nastavení rozsahu data a času.Zjistěte, jak používat AQL a jak v AQL uložit kritéria hledání .
Zkopírujte dotaz AQL pro pozdější použití.
Zakódujte dotaz AQL do zakódovaného formátu adresy URL. Vložte dotaz, který jste zkopírovali v kroku 3 , do dekodéru. Zkopírujte výstup kódovaného formátu.
Spuštění vyhledávacího dotazu
Vyhledávací dotaz můžete spustit pomocí jedné z těchto metod.
- ID uživatele konzoly QRadar. Pokud chcete použít tuto metodu, ujistěte se, že ID uživatele konzoly používané k migraci dat je přiřazené k profilu zabezpečení , který má přístup k datům potřebným pro export.
- Token rozhraní API. Pokud chcete použít tuto metodu, vygenerujte token rozhraní API v QRadar.
Spuštění vyhledávacího dotazu:
Přihlaste se k systému, ze kterého budete stahovat historická data. Ujistěte se, že tento systém má přístup ke konzole QRadar a rozhraní API QRadar na portu TCP/443 prostřednictvím protokolu HTTPS.
Pokud chcete spustit vyhledávací dotaz, který načte historická data, otevřete příkazový řádek a spusťte jeden z těchto příkazů:
Pro metodu ID uživatele konzoly QRadar spusťte:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
Pro metodu tokenu rozhraní API spusťte:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>
Doba provádění úlohy vyhledávání se může lišit v závislosti na časovém rozsahu AQL a množství dotazovaných dat. Doporučujeme spustit dotaz v malých časových rozsazích a dotazovat se jenom na data, která potřebujete pro export.
Výstup by měl vrátit stav, například
COMPLETED
,EXECUTE
,WAIT
progress
hodnotu asearch_id
hodnotu. Příklad:
Zkopírujte hodnotu v
search_id
poli. Toto ID použijete ke kontrole průběhu a stavu provádění vyhledávacího dotazu a ke stažení výsledků po dokončení provádění vyhledávání.Pokud chcete zkontrolovat stav a průběh hledání, spusťte jeden z těchto příkazů:
Pro metodu ID uživatele konzoly QRadar spusťte:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Pro metodu tokenu rozhraní API spusťte:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Zkontrolujte výstup. Pokud je
COMPLETED
hodnota vstatus
poli , pokračujte dalším krokem. Pokud stav neníCOMPLETED
, zkontrolujte hodnotu vprogress
poli a po 5 až 10 minutách spusťte příkaz, který jste spustili v kroku 4.Zkontrolujte výstup a ujistěte se, že je
COMPELETED
stav .Spuštěním jednoho z těchto příkazů stáhněte výsledky nebo vrácená data ze souboru JSON do složky v aktuálním systému:
Pro metodu ID uživatele konzoly QRadar spusťte:
curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Pro metodu tokenu rozhraní API spusťte:
curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Pokud chcete načíst data, která potřebujete exportovat, vytvořte dotaz AQL (kroky 1 až 4) a spusťte dotaz znovu (kroky 1 až 7). Upravte časový rozsah a vyhledávací dotazy, abyste získali potřebná data.