Exporter des données historiques à partir d’ArcSight

Cet article explique comment exporter vos données historiques à partir d’ArcSight. Après avoir suivi les étapes décrites dans cet article, vous pouvez sélectionner une plateforme cible pour héberger les données exportées, puis sélectionner un outil d’ingestion pour migrer les données.

Vous pouvez exporter des données à partir d’ArcSight de plusieurs manières. Votre sélection d’une méthode d’exportation dépend des volumes de données et de l’environnement ArcSight déployé. Vous pouvez exporter les journaux vers un dossier local sur le serveur ArcSight ou vers un autre serveur accessible par ArcSight.

Pour exporter les données, utilisez l’une des méthodes suivantes :

• Outil de transfert de données d’événement ArcSight : utilisez cette option pour de grands volumes de données, à savoir des téraoctets (To).
• Outil lacat : utilisez-le pour des volumes de données inférieurs à un To.

Outil de transfert de données d’événement ArcSight

Utilisez l’outil de transfert de données d’événement pour exporter des données à partir d’ArcSight Enterprise Security Manager (ESM) version 7.x. Pour exporter des données à partir d’ArcSight Logger, utilisez l’utilitaire lacat.

L’outil de transfert de données d’événement récupère les données d’événement d’ESM, ce qui vous permet de combiner l’analyse avec des données non structurées, en plus des données CEF. L’outil de transfert de données d’événement exporte les événements ESM dans trois formats : CEF, CSV et paires clé-valeur.

Pour exporter des données à l’aide de l’outil de transfert de données d’événement :

1. Installez et configurez l’outil de transfert d’événement.

2. Configurez l’exportation des journaux pour utiliser un format CSV. Par exemple, cette commande exporte les données enregistrées entre 15h45 et 16h45 le 4 mai 2016 vers un fichier CSV :

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

Utilitaire lacat

Utilisez l’utilitaire lacat pour exporter des données à partir d’ArcSight Logger. lacat exporte les enregistrements CEF d’un fichier d’archive Logger, et imprime les enregistrements dans stdout. Vous pouvez rediriger les enregistrements vers un fichier, ou diriger le fichier pour une manipulation supplémentaire avec des options telles que grep ou awk.

Pour exporter des données avec l’utilitaire lacat :

1. Téléchargez l’utilitaire lacat. Pour les grands volumes de données, nous vous suggérons de modifier le script pour améliorer les performances. Utilisez la version modifiée.
2. Suivez les exemples du référentiel lacat sur la façon d’exécuter le script.

Étapes suivantes

• Sélectionner une plateforme Azure cible pour héberger les données historiques exportées
• Sélectionner un outil d’ingestion de données
• Ingérer des données historiques dans votre plateforme cible