Mengekspor data historis dari QRadar
Artikel ini menjelaskan cara mengekspor data historis Anda dari QRadar. Setelah Anda menyelesaikan langkah-langkah dalam artikel ini, Anda dapat memilih platform target untuk menghosting data yang diekspor, lalu memilih alat penyerapan untuk memigrasikan data.
Untuk mengekspor data QRadar, Anda menggunakan QRadar REST API untuk menjalankan kueri Ariel Query Language (AQL) pada data yang disimpan dalam database Ariel. Karena proses ekspor membutuhkan banyak sumber daya, sebaiknya Anda menggunakan rentang waktu kecil dalam kueri Anda, dan hanya memigrasikan data yang Anda butuhkan.
Membuat kueri AQL
Di Konsol QRadar, pilih tab Aktivitas Log.
Buat kueri pencarian AQL baru atau pilih kueri pencarian tersimpan untuk mengekspor data. Pastikan kueri menyertakan fungsi
START
danSTOP
untuk mengatur rentang tanggal dan waktu.Pelajari cara menggunakan AQL dan cara menyimpan kriteria pencarian di AQL.
Salin kueri AQL untuk digunakan nanti.
Mengodekan kueri AQL ke format yang dikodekan URL. Tempelkan kueri yang Anda salin di langkah 3 ke dalam dekoder. Salin output format yang dikodekan.
Jalankan kueri pencarian
Anda dapat menjalankan kueri pencarian menggunakan salah satu metode ini.
- ID pengguna Konsol QRadar. Untuk menggunakan metode ini, pastikan bahwa ID pengguna konsol yang digunakan untuk migrasi data ditetapkan ke profil keamanan yang dapat mengakses data yang Anda butuhkan untuk ekspor.
- Token API. Untuk menggunakan metode ini, buat token API di QRadar.
Untuk menjalankan kueri pencarian:
Masuk ke sistem tempat Anda akan mengunduh data historis. Pastikan bahwa sistem ini memiliki akses ke Konsol QRadar dan API QRadar pada TCP/443 melalui HTTPS.
Untuk menjalankan kueri pencarian yang mengambil data historis, buka perintah dan jalankan salah satu perintah ini:
Untuk metode ID pengguna Konsol QRadar, jalankan:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
Untuk metode token API, jalankan:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>
Waktu eksekusi pekerjaan pencarian dapat bervariasi, tergantung pada rentang waktu AQL dan jumlah data yang dikueri. Sebaiknya Anda menjalankan kueri dalam rentang waktu kecil, dan hanya mengkueri data yang Anda butuhkan untuk ekspor.
Output harus mengembalikan status, seperti
COMPLETED
,EXECUTE
,WAIT
, nilaiprogress
, dan nilaisearch_id
. Contohnya:
Salin nilai di bidang
search_id
. Anda akan menggunakan ID ini untuk memeriksa kemajuan dan status eksekusi kueri pencarian, dan untuk mengunduh hasil setelah eksekusi pencarian selesai.Untuk memeriksa status dan kemajuan pencarian, jalankan salah satu perintah berikut:
Untuk metode ID pengguna Konsol QRadar, jalankan:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Untuk metode token API, jalankan:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Tinjau output. Jika nilai dalam bidang
status
adalahCOMPLETED
, lanjutkan ke langkah berikutnya. Jika statusnya tidakCOMPLETED
, periksa nilai di bidangprogress
, dan setelah 5-10 menit, jalankan perintah yang Anda jalankan di langkah 4.Tinjau output dan pastikan bahwa statusnya adalah
COMPELETED
.Jalankan salah satu perintah ini untuk mengunduh hasil atau mengembalikan data dari file JSON ke folder pada sistem saat ini:
Untuk metode ID pengguna Konsol QRadar, jalankan:
curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Untuk metode token API, jalankan:
curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Untuk mengambil data yang perlu Anda ekspor, buat kueri AQL (langkah 1-4) dan jalankan kueri (langkah 1-7) lagi. Sesuaikan rentang waktu dan kueri pencarian untuk mendapatkan data yang Anda butuhkan.