Condividi tramite


Esportare dati cronologici da QRadar

Questo articolo descrive come esportare i dati cronologici da QRadar. Dopo aver completato i passaggi descritti in questo articolo, è possibile selezionare una piattaforma di destinazione per ospitare i dati esportati e quindi selezionare uno strumento di inserimento per eseguire la migrazione dei dati.

Diagramma che illustra i passaggi necessari per l'esportazione e l'inserimento.

Per esportare i dati QRadar, è possibile usare l'API REST QRadar per eseguire query di Tipo Query Language (AQL) su dati archiviati in un database Ariel. Poiché il processo di esportazione richiede un utilizzo intensivo delle risorse, è consigliabile usare intervalli di tempo di piccole dimensioni nelle query ed eseguire solo la migrazione dei dati necessari.

Creare una query AQL

  1. Nella console QRadar selezionare la scheda Attività log .

  2. Creare una nuova query di ricerca AQL o selezionare una query di ricerca salvata per esportare i dati. Assicurarsi che la query includa le START funzioni e STOP per impostare l'intervallo di data e ora.

    Informazioni su come usare AQL e come salvare i criteri di ricerca in AQL.

  3. Copiare la query AQL per usarla in un secondo momento.

  4. Codificare la query AQL nel formato con codifica URL. Incollare la query copiata nel passaggio 3 nel decodificatore. Copiare l'output del formato codificato.

Eseguire una query di ricerca

È possibile eseguire la query di ricerca usando uno di questi metodi.

  • ID utente della console QRadar. Per usare questo metodo, assicurarsi che l'ID utente della console usato per la migrazione dei dati sia assegnato a un profilo di sicurezza in grado di accedere ai dati necessari per l'esportazione.
  • Token API. Per usare questo metodo, generare un token API in QRadar.

Per eseguire la query di ricerca:

  1. Accedere al sistema da cui scaricare i dati cronologici. Assicurarsi che questo sistema abbia accesso alla console QRadar e all'API QRadar su TCP/443 tramite HTTPS.

  2. Per eseguire la query di ricerca che recupera i dati cronologici, aprire un prompt dei comandi ed eseguire uno dei comandi seguenti:

    • Per il metodo ID utente della console QRadar, eseguire:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Per il metodo del token API, eseguire:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      Il tempo di esecuzione del processo di ricerca può variare, a seconda dell'intervallo di tempo AQL e della quantità di dati sottoposti a query. È consigliabile eseguire la query in intervalli di tempo di piccole dimensioni e per eseguire query solo sui dati necessari per l'esportazione.

      L'output deve restituire uno stato, ad esempio COMPLETED, EXECUTE, WAIT, un progress valore e un search_id valore. Ad esempio:

      Screenshot dell'output del comando di query di ricerca.

  3. Copiare il valore nel search_id campo. Questo ID verrà usato per controllare lo stato e lo stato dell'esecuzione della query di ricerca e per scaricare i risultati al termine dell'esecuzione della ricerca.

  4. Per controllare lo stato e lo stato della ricerca, eseguire uno dei comandi seguenti:

    • Per il metodo ID utente della console QRadar, eseguire:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Per il metodo del token API, eseguire:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Esaminare l'output. Se il valore nel status campo è COMPLETED, continuare con il passaggio successivo. Se lo stato non COMPLETEDè , controllare il valore nel progress campo e, dopo 5-10 minuti, eseguire il comando eseguito nel passaggio 4.

  6. Esaminare l'output e verificare che lo stato sia COMPELETED.

  7. Eseguire uno di questi comandi per scaricare i risultati o i dati restituiti dal file JSON in una cartella nel sistema corrente:

    • Per il metodo ID utente della console QRadar, eseguire:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Per il metodo del token API, eseguire:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Per recuperare i dati da esportare, creare la query AQL (passaggi 1-4) ed eseguire nuovamente la query (passaggi da 1 a 7). Modificare l'intervallo di tempo e le query di ricerca per ottenere i dati necessari.

Passaggi successivi