Historische gegevens exporteren uit QRadar

In dit artikel wordt beschreven hoe u uw historische gegevens uit QRadar exporteert. Nadat u de stappen in dit artikel hebt voltooid, kunt u een doelplatform selecteren om de geëxporteerde gegevens te hosten en vervolgens een opnameprogramma selecteren om de gegevens te migreren.

Als u uw QRadar-gegevens wilt exporteren, gebruikt u de QRadar REST API om Ariel Query Language-query's (AQL) uit te voeren op gegevens die zijn opgeslagen in een Ariel-database. Omdat het exportproces resource-intensief is, raden we u aan om kleine tijdsbereiken in uw query's te gebruiken en alleen de gegevens te migreren die u nodig hebt.

AQL-query maken

1. Selecteer in de QRadar-console het tabblad Logboekactiviteit .

2. Maak een nieuwe AQL-zoekquery of selecteer een opgeslagen zoekquery om de gegevens te exporteren. Zorg ervoor dat de query de START functies en STOP bevat om het datum- en tijdsbereik in te stellen.

   Meer informatie over het gebruik van AQL en het opslaan van zoekcriteria in AQL.

3. Kopieer de AQL-query voor later gebruik.

4. Codeer de AQL-query naar de indeling met URL-codering. Plak de query die u in stap 3 hebt gekopieerd in de decoder. Kopieer de uitvoer van de gecodeerde indeling.

Zoekquery uitvoeren

U kunt de zoekquery uitvoeren met behulp van een van deze methoden.

• Gebruikers-id van QRadar Console. Als u deze methode wilt gebruiken, moet u ervoor zorgen dat de gebruikers-id van de console die wordt gebruikt voor gegevensmigratie is toegewezen aan een beveiligingsprofiel dat toegang heeft tot de gegevens die u nodig hebt voor de export.
• API-token. Als u deze methode wilt gebruiken, genereert u een API-token in QRadar.

De zoekquery uitvoeren:

1. Meld u aan bij het systeem van waaruit u de historische gegevens downloadt. Zorg ervoor dat dit systeem toegang heeft tot de QRadar-console en QRadar-API op TCP/443 via HTTPS.

2. Als u de zoekquery wilt uitvoeren waarmee de historische gegevens worden opgehaald, opent u een opdrachtprompt en voert u een van deze opdrachten uit:

   • Voer voor de gebruikers-id-methode van de QRadar-console het volgende uit:

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
     

   • Voer voor de API-tokenmethode het volgende uit:

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
     

     De uitvoeringstijd van de zoektaak kan variëren, afhankelijk van het AQL-tijdsbereik en de hoeveelheid opgevraagde gegevens. We raden u aan de query in kleine tijdsbereiken uit te voeren en alleen de gegevens op te vragen die u nodig hebt voor de export.

     De uitvoer moet een status retourneren, zoals COMPLETED, EXECUTE, WAIT, een progress waarde en een search_id waarde. Bijvoorbeeld:

     

3. Kopieer de waarde in het search_id veld. U gebruikt deze id om de voortgang en status van de uitvoering van de zoekquery te controleren en om de resultaten te downloaden nadat de zoekuitvoering is voltooid.

4. Voer een van de volgende opdrachten uit om de status en de voortgang van de zoekopdracht te controleren:

   • Voer voor de gebruikers-id-methode van de QRadar-console het volgende uit:

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

   • Voer voor de API-tokenmethode het volgende uit:

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

5. Controleer de uitvoer. Als de waarde in het status veld is COMPLETED, gaat u verder met de volgende stap. Als de status niet COMPLETEDis, controleert u de waarde in het progress veld en voert u na 5-10 minuten de opdracht uit die u in stap 4 hebt uitgevoerd.

6. Controleer de uitvoer en controleer of de status is COMPELETED.

7. Voer een van deze opdrachten uit om de resultaten of geretourneerde gegevens uit het JSON-bestand te downloaden naar een map op het huidige systeem:

   • Voer voor de gebruikers-id-methode van de QRadar-console het volgende uit:

     curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

   • Voer voor de API-tokenmethode het volgende uit:

     curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

8. Als u de gegevens wilt ophalen die u wilt exporteren, maakt u de AQL-query (stap 1-4) en voert u de query (stap 1-7) opnieuw uit. Pas het tijdsbereik en zoekquery's aan om de gegevens op te halen die u nodig hebt.

Volgende stappen

• Selecteer een Azure-doelplatform om de geëxporteerde historische gegevens te hosten
• Een hulpprogramma voor gegevensopname selecteren
• Historische gegevens opnemen in uw doelplatform