Freigeben über


Exportieren von Verlaufsdaten aus ArcSight

In diesem Artikel wird beschrieben, wie Sie Ihre Verlaufsdaten aus ArcSight exportieren. Nachdem Sie die Schritte in diesem Artikel ausgeführt haben, können Sie eine Zielplattform zum Hosten der exportierten Daten auswählen und dann ein Datenerfassungstool auswählen, um die Daten zu migrieren.

Diagramm mit den Schritten zum Exportieren und zur Erfassung

Sie können Daten aus ArcSight auf verschiedene Arten exportieren. Ihre Auswahl einer Exportmethode hängt von den Datenvolumen und der bereitgestellten ArcSight-Umgebung ab. Sie können die Protokolle in einen lokalen Ordner auf dem ArcSight-Server oder auf einen anderen Server exportieren, auf den ArcSight zugreifen kann.

Verwenden Sie zum Exportieren der Daten eine der folgenden Methoden:

ArcSight-Ereignisdatenübertragungstool

Verwenden Sie das Ereignisdatenübertragungstool, um Daten aus ArcSight Enterprise Security Manager (ESM) Version 7.x zu exportieren. Um Daten aus ArcSight Logger zu exportieren, verwenden Sie das lacat-Hilfsprogramm.

Das Ereignisdatenübertragungstool ruft Ereignisdaten aus ESM ab, wodurch Sie zusätzlich zu den CEF-Daten die Analyse mit unstrukturierten Daten kombinieren können. Das Ereignisdatenübertragungstool exportiert ESM-Ereignisse in drei Formaten: CEF, CSV und Schlüssel-Wert-Paare.

So exportieren Sie Daten mithilfe des Ereignisdatenübertragungstools:

  1. Installieren und konfigurieren Sie das Ereignisübertragungstool.

  2. Konfigurieren Sie den Protokollexport, um ein CSV-Format zu verwenden. Mit dem folgenden CLI-Befehl werden beispielsweise Daten, die zwischen 15:45 und 16:45 Uhr am 4. September 2016 aufgezeichnet wurden, in eine CSV-Datei exportiert:

        arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
    

lacat-Hilfsprogramm

Um Daten aus ArcSight Logger zu exportieren, verwenden Sie das lacat-Hilfsprogramm. lacat exportiert CEF-Datensätze aus einer Logger-Archivdatei und druckt die Datensätze in stdout. Sie können die Datensätze an eine Datei umleiten oder die Datei für weitere Manipulationen mit Optionen wie z. B. grep oder awk weiterleiten.

So exportieren Sie Daten mit dem lacat-Hilfsprogramm:

  1. Laden Sie das lacat-Hilfsprogramm herunter. Bei großen Datenmengen empfehlen wir, das Skript zu ändern, um die Leistung zu verbessern. Verwenden der geänderten Version.
  2. Folgen Sie den Beispielen im lacat-Repository zum Ausführen des Skripts.

Nächste Schritte