從 QRadar 匯出歷程資料

  • 發行項

本文說明如何從 QRadar 匯出歷程資料。 完成本文中的步驟之後,您可以選取目標平台來裝載匯出的資料,然後選取擷取工具來移轉資料。

圖表,其中說明與匯出和擷取有關的步驟。

若要匯出 QRadar 資料,您可以使用 QRadar REST API 來執行 Ariel 查詢語言 (AQL) 查詢儲存在 Ariel 資料庫中的資料。 由於匯出程序需要大量資源,因此建議您在查詢中使用小型時間範圍,並只移轉您需要的資料。

建立 AQL 查詢

  1. 在 QRadar 主控台中,選取 [記錄活動] 索引標籤。

  2. 建立新的 AQL 搜尋查詢,或選取已儲存的搜尋查詢以匯出資料。 請確定查詢包含 STARTSTOP 函式,以設定日期和時間範圍。

    了解如何使用 AQL (英文),以及如何在 AQL 中 儲存搜尋準則 (英文)。

  3. 複製 AQL 查詢以供稍後使用。

  4. 將 AQL 查詢編碼為 URL 編碼格式。 將您在步驟 3 中複製的查詢貼到解碼器中 (英文)。 複製編碼格式輸出。

執行搜尋查詢

您可以使用下列其中一種方法來執行搜尋查詢。

  • QRadar 主控台使用者識別碼。 若要使用此方法,請確定用於資料移轉的主控台使用者識別碼會指派給安全性設定檔 (英文),以存取匯出所需的資料。
  • API 權杖。 若要使用此方法,請在 QRadar 中產生 API 權杖 (英文)。

若要執行搜尋查詢:

  1. 登入您將從中下載歷程記錄資料的系統。 請確定此系統可透過 HTTPS 存取 TCP/443 上的 QRadar 主控台和 QRadar API。

  2. 若要執行擷取歷程記錄資料的搜尋查詢,請開啟命令提示字元並執行下列其中一個命令:

    • 針對 QRadar 主控台使用者識別碼方法,請執行:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • 針對 API 權杖方法,請執行:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      搜尋作業執行時間可能會根據 AQL 時間範圍和查詢的資料量而有所不同。 建議您在較小的時間範圍內執行查詢,並只查詢匯出所需的資料。

      輸出應該會傳回狀態,例如 COMPLETEDEXECUTEWAITprogress 值和 search_id 值。 例如:

      搜尋查詢命令輸出的螢幕擷取畫面。

  3. 複製 [密碼]search_id 欄位中的值。 您將使用此識別碼來檢查搜尋查詢執行的進度和狀態,並在搜尋執行完成後下載結果。

  4. 若要檢查搜尋的狀態和進度,請執行下列其中一個命令:

    • 針對 QRadar 主控台使用者識別碼方法,請執行:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • 針對 API 權杖方法,請執行:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. 檢閱輸出。 如果 status 欄位中的值是 COMPLETED,請繼續進行下一個步驟。 如果狀態不是 COMPLETED,請檢查 progress 欄位中的值,並在 5-10 分鐘後執行您在步驟 4 中執行的命令。

  6. 檢閱輸出,並確定狀態為 COMPELETED

  7. 執行下列其中一個命令,將結果或從 JSON 檔案傳回的資料下載到目前系統上的資料夾:

    • 針對 QRadar 主控台使用者識別碼方法,請執行:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • 針對 API 權杖方法,請執行:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. 若要擷取您需要匯出的資料,請建立 AQL 查詢 (步驟 1-4),然後再次 執行查詢 (步驟 1-7)。 調整時間範圍和搜尋查詢,以取得您需要的資料。

後續步驟