Sdílet prostřednictvím


Export historických dat z QRadaru

Tento článek popisuje, jak exportovat historická data z QRadar. Po dokončení kroků v tomto článku můžete vybrat cílovou platformu pro hostování exportovaných dat a pak vybrat nástroj pro příjem dat pro migraci dat.

Diagram znázorňující kroky související s exportem a příjmem dat

Pokud chcete exportovat data QRadar, použijete rozhraní QRadar REST API ke spouštění dotazů AQL (Ariel Query Language) na data uložená v databázi Ariel. Vzhledem k tomu, že proces exportu je náročný na prostředky, doporučujeme v dotazech používat malé časové rozsahy a migrovat pouze data, která potřebujete.

Vytvoření dotazu AQL

  1. V konzole QRadar vyberte kartu Aktivita protokolu .

  2. Vytvořte nový vyhledávací dotaz AQL nebo vyberte uložený vyhledávací dotaz pro export dat. Ujistěte se, že dotaz obsahuje START funkce a pro STOP nastavení rozsahu data a času.

    Zjistěte, jak používat AQL a jak v AQL uložit kritéria hledání .

  3. Zkopírujte dotaz AQL pro pozdější použití.

  4. Zakódujte dotaz AQL do zakódovaného formátu adresy URL. Vložte dotaz, který jste zkopírovali v kroku 3 , do dekodéru. Zkopírujte výstup kódovaného formátu.

Spuštění vyhledávacího dotazu

Vyhledávací dotaz můžete spustit pomocí jedné z těchto metod.

Spuštění vyhledávacího dotazu:

  1. Přihlaste se k systému, ze kterého budete stahovat historická data. Ujistěte se, že tento systém má přístup ke konzole QRadar a rozhraní API QRadar na portu TCP/443 prostřednictvím protokolu HTTPS.

  2. Pokud chcete spustit vyhledávací dotaz, který načte historická data, otevřete příkazový řádek a spusťte jeden z těchto příkazů:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      Doba provádění úlohy vyhledávání se může lišit v závislosti na časovém rozsahu AQL a množství dotazovaných dat. Doporučujeme spustit dotaz v malých časových rozsazích a dotazovat se jenom na data, která potřebujete pro export.

      Výstup by měl vrátit stav, například COMPLETED, EXECUTE, WAITprogress hodnotu a search_id hodnotu. Příklad:

      Snímek obrazovky s výstupem příkazu vyhledávacího dotazu

  3. Zkopírujte hodnotu v search_id poli. Toto ID použijete ke kontrole průběhu a stavu provádění vyhledávacího dotazu a ke stažení výsledků po dokončení provádění vyhledávání.

  4. Pokud chcete zkontrolovat stav a průběh hledání, spusťte jeden z těchto příkazů:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Zkontrolujte výstup. Pokud je COMPLETEDhodnota v status poli , pokračujte dalším krokem. Pokud stav není COMPLETED, zkontrolujte hodnotu v progress poli a po 5 až 10 minutách spusťte příkaz, který jste spustili v kroku 4.

  6. Zkontrolujte výstup a ujistěte se, že je COMPELETEDstav .

  7. Spuštěním jednoho z těchto příkazů stáhněte výsledky nebo vrácená data ze souboru JSON do složky v aktuálním systému:

    • Pro metodu ID uživatele konzoly QRadar spusťte:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Pro metodu tokenu rozhraní API spusťte:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Pokud chcete načíst data, která potřebujete exportovat, vytvořte dotaz AQL (kroky 1 až 4) a spusťte dotaz znovu (kroky 1 až 7). Upravte časový rozsah a vyhledávací dotazy, abyste získali potřebná data.

Další kroky