Exportar dados históricos do QRadar
Este artigo descreve como exportar os seus dados históricos do QRadar. Depois de concluir os passos neste artigo, pode selecionar uma plataforma de destino para alojar os dados exportados e, em seguida, selecionar uma ferramenta de ingestão para migrar os dados.
Para exportar os dados do QRadar, utilize a API REST do QRadar para executar consultas Ariel Query Language (AQL) em dados armazenados numa base de dados do Ariel. Uma vez que o processo de exportação consome muitos recursos, recomendamos que utilize intervalos de tempo pequenos nas consultas e migre apenas os dados de que precisa.
Criar consulta AQL
Na Consola do QRadar, selecione o separador Atividade de Registo .
Crie uma nova consulta de pesquisa do AQL ou selecione uma consulta de pesquisa guardada para exportar os dados. Certifique-se de que a consulta inclui as
START
funções eSTOP
para definir o intervalo de data e hora.Saiba como utilizar o AQL e como guardar critérios de pesquisa no AQL.
Copie a consulta AQL para utilização posterior.
Codifique a consulta AQL para o formato codificado por URL. Cole a consulta que copiou no passo 3 no descodificador. Copie a saída do formato codificado.
Executar consulta de pesquisa
Pode executar a consulta de pesquisa com um destes métodos.
- ID de utilizador da Consola QRadar. Para utilizar este método, certifique-se de que o ID de utilizador da consola que está a ser utilizado para a migração de dados está atribuído a um perfil de segurança que pode aceder aos dados de que precisa para a exportação.
- Token de API. Para utilizar este método, gere um token de API no QRadar.
Para executar a consulta de pesquisa:
Inicie sessão no sistema a partir do qual irá transferir os dados históricos. Certifique-se de que este sistema tem acesso à Consola QRadar e à API QRadar no TCP/443 através de HTTPS.
Para executar a consulta de pesquisa que obtém os dados históricos, abra uma linha de comandos e execute um destes comandos:
Para o método de ID de utilizador da Consola QRadar, execute:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
Para o método de token de API, execute:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>
O tempo de execução da tarefa de pesquisa pode variar, consoante o intervalo de tempo do AQL e a quantidade de dados consultados. Recomendamos que execute a consulta em intervalos de tempo pequenos e que consulte apenas os dados necessários para a exportação.
O resultado deve devolver um estado, como
COMPLETED
,EXECUTE
,WAIT
, umprogress
valor e umsearch_id
valor. Por exemplo:
Copie o valor no
search_id
campo . Irá utilizar este ID para verificar o progresso e o estado da execução da consulta de pesquisa e para transferir os resultados após a execução da pesquisa estar concluída.Para verificar o estado e o progresso da pesquisa, execute um destes comandos:
Para o método de ID de utilizador da Consola QRadar, execute:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Para o método de token de API, execute:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Reveja a saída. Se o valor no
status
campo forCOMPLETED
, avance para o passo seguinte. Se o estado nãoCOMPLETED
for , verifique o valor noprogress
campo e, após 5 a 10 minutos, execute o comando que executou no passo 4.Reveja o resultado e certifique-se de que o estado é
COMPELETED
.Execute um destes comandos para transferir os resultados ou os dados devolvidos do ficheiro JSON para uma pasta no sistema atual:
Para o método de ID de utilizador da Consola QRadar, execute:
curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Para o método de token de API, execute:
curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Para obter os dados que precisa de exportar, crie a consulta AQL (passos 1 a 4) e execute novamente a consulta (passos 1 a 7). Ajuste o intervalo de tempo e as consultas de pesquisa para obter os dados de que precisa.