Exportieren von Verlaufsdaten aus ArcSight
In diesem Artikel wird beschrieben, wie Sie Ihre Verlaufsdaten aus ArcSight exportieren. Nachdem Sie die Schritte in diesem Artikel ausgeführt haben, können Sie eine Zielplattform zum Hosten der exportierten Daten auswählen und dann ein Datenerfassungstool auswählen, um die Daten zu migrieren.
Sie können Daten aus ArcSight auf verschiedene Arten exportieren. Ihre Auswahl einer Exportmethode hängt von den Datenvolumen und der bereitgestellten ArcSight-Umgebung ab. Sie können die Protokolle in einen lokalen Ordner auf dem ArcSight-Server oder auf einen anderen Server exportieren, auf den ArcSight zugreifen kann.
Verwenden Sie zum Exportieren der Daten eine der folgenden Methoden:
- ArcSight-Ereignisdatenübertragungstool: Verwenden Sie diese Option für große Datenmengen, nämlich Terabytes (TB).
- lacat-Tool: Verwenden Sie für Datenvolume kleiner als ein TB.
ArcSight-Ereignisdatenübertragungstool
Verwenden Sie das Ereignisdatenübertragungstool, um Daten aus ArcSight Enterprise Security Manager (ESM) Version 7.x zu exportieren. Um Daten aus ArcSight Logger zu exportieren, verwenden Sie das lacat-Hilfsprogramm.
Das Ereignisdatenübertragungstool ruft Ereignisdaten aus ESM ab, wodurch Sie zusätzlich zu den CEF-Daten die Analyse mit unstrukturierten Daten kombinieren können. Das Ereignisdatenübertragungstool exportiert ESM-Ereignisse in drei Formaten: CEF, CSV und Schlüssel-Wert-Paare.
So exportieren Sie Daten mithilfe des Ereignisdatenübertragungstools:
Installieren und konfigurieren Sie das Ereignisübertragungstool.
Konfigurieren Sie den Protokollexport, um ein CSV-Format zu verwenden. Mit dem folgenden CLI-Befehl werden beispielsweise Daten, die zwischen 15:45 und 16:45 Uhr am 4. September 2016 aufgezeichnet wurden, in eine CSV-Datei exportiert:
arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00"
lacat-Hilfsprogramm
Um Daten aus ArcSight Logger zu exportieren, verwenden Sie das lacat-Hilfsprogramm. lacat exportiert CEF-Datensätze aus einer Logger-Archivdatei und druckt die Datensätze in stdout
. Sie können die Datensätze an eine Datei umleiten oder die Datei für weitere Manipulationen mit Optionen wie z. B. grep
oder awk
weiterleiten.
So exportieren Sie Daten mit dem lacat-Hilfsprogramm:
- Laden Sie das lacat-Hilfsprogramm herunter. Bei großen Datenmengen empfehlen wir, das Skript zu ändern, um die Leistung zu verbessern. Verwenden der geänderten Version.
- Folgen Sie den Beispielen im lacat-Repository zum Ausführen des Skripts.