Historische gegevens exporteren uit ArcSight

In dit artikel wordt beschreven hoe u uw historische gegevens uit ArcSight exporteert. Nadat u de stappen in dit artikel hebt voltooid, kunt u een doelplatform selecteren om de geëxporteerde gegevens te hosten en vervolgens een opnameprogramma selecteren om de gegevens te migreren.

U kunt gegevens op verschillende manieren exporteren uit ArcSight. Uw selectie van een exportmethode is afhankelijk van de gegevensvolumes en de geïmplementeerde ArcSight-omgeving. U kunt de logboeken exporteren naar een lokale map op de ArcSight-server of naar een andere server die toegankelijk is voor ArcSight.

Gebruik een van de volgende methoden om de gegevens te exporteren:

• ArcSight Event Data Transfer Tool: Gebruik deze optie voor grote hoeveelheden gegevens, namelijk terabytes (TB).
• lacat-hulpprogramma: gebruiken voor gegevensvolumes die kleiner zijn dan een TB.

ArcSight-hulpprogramma voor gebeurtenisgegevensoverdracht

Gebruik het hulpprogramma Event Data Transfer om gegevens te exporteren uit ArcSight Enterprise Security Manager (ESM) versie 7.x. Als u gegevens wilt exporteren uit ArcSight Logger, gebruikt u het hulpprogramma lacat.

Het hulpprogramma gebeurtenisgegevensoverdracht haalt gebeurtenisgegevens op uit ESM, waarmee u naast de CEF-gegevens ook analyses kunt combineren met ongestructureerde gegevens. Het hulpprogramma Event Data Transfer exporteert ESM-gebeurtenissen in drie indelingen: CEF, CSV en sleutel-waardeparen.

Gegevens exporteren met het hulpprogramma Gebeurtenisgegevensoverdracht:

1. Installeer en configureer het hulpprogramma voor gebeurtenisoverdracht.

2. Configureer de logboekexport om een CSV-indeling te gebruiken. Met deze opdracht worden bijvoorbeeld gegevens geëxporteerd die zijn vastgelegd tussen 15:45 en 16:45 op 4 mei 2016 naar een CSV-bestand:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

lacat-hulpprogramma

Gebruik het lacat-hulpprogramma om gegevens te exporteren vanuit ArcSight Logger. lacat exporteert CEF-records uit een Logger-archiefbestand en drukt de records af naar stdout. U kunt de records omleiden naar een bestand of het bestand doorspezen voor verdere bewerking met opties zoals grep of awk.

Gegevens exporteren met het lacat-hulpprogramma:

1. Download het lacat-hulpprogramma. Voor grote hoeveelheden gegevens raden we u aan het script te wijzigen voor betere prestaties. Gebruik de gewijzigde versie.
2. Volg de voorbeelden in de lacat-opslagplaats over het uitvoeren van het script.

Volgende stappen

• Selecteer een Azure-doelplatform om de geëxporteerde historische gegevens te hosten
• Een hulpprogramma voor gegevensopname selecteren
• Historische gegevens opnemen in uw doelplatform