從 QRadar 匯出歷程資料

本文說明如何從 QRadar 匯出歷程資料。 完成本文中的步驟之後，您可以選取目標平台來裝載匯出的資料，然後選取擷取工具來移轉資料。

若要匯出 QRadar 資料，您可以使用 QRadar REST API 來執行 Ariel 查詢語言 (AQL) 查詢儲存在 Ariel 資料庫中的資料。 由於匯出程序需要大量資源，因此建議您在查詢中使用小型時間範圍，並只移轉您需要的資料。

建立 AQL 查詢

1. 在 QRadar 主控台中，選取 [記錄活動] 索引標籤。

2. 建立新的 AQL 搜尋查詢，或選取已儲存的搜尋查詢以匯出資料。 請確定查詢包含 START 和 STOP 函式，以設定日期和時間範圍。

   了解如何使用 AQL (英文)，以及如何在 AQL 中 儲存搜尋準則 (英文)。

3. 複製 AQL 查詢以供稍後使用。

4. 將 AQL 查詢編碼為 URL 編碼格式。 將您在步驟 3 中複製的查詢貼到解碼器中 (英文)。 複製編碼格式輸出。

執行搜尋查詢

您可以使用下列其中一種方法來執行搜尋查詢。

• QRadar 主控台使用者識別碼。 若要使用此方法，請確定用於資料移轉的主控台使用者識別碼會指派給安全性設定檔 (英文)，以存取匯出所需的資料。
• API 權杖。 若要使用此方法，請在 QRadar 中產生 API 權杖 (英文)。

若要執行搜尋查詢：

1. 登入您將從中下載歷程記錄資料的系統。 請確定此系統可透過 HTTPS 存取 TCP/443 上的 QRadar 主控台和 QRadar API。

2. 若要執行擷取歷程記錄資料的搜尋查詢，請開啟命令提示字元並執行下列其中一個命令：

   • 針對 QRadar 主控台使用者識別碼方法，請執行：

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
     

   • 針對 API 權杖方法，請執行：

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
     

     搜尋作業執行時間可能會根據 AQL 時間範圍和查詢的資料量而有所不同。 建議您在較小的時間範圍內執行查詢，並只查詢匯出所需的資料。

     輸出應該會傳回狀態，例如 COMPLETED、EXECUTE、WAIT、progress 值和 search_id 值。 例如：

     

3. 複製 [密碼]search_id 欄位中的值。 您將使用此識別碼來檢查搜尋查詢執行的進度和狀態，並在搜尋執行完成後下載結果。

4. 若要檢查搜尋的狀態和進度，請執行下列其中一個命令：

   • 針對 QRadar 主控台使用者識別碼方法，請執行：

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

   • 針對 API 權杖方法，請執行：

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

5. 檢閱輸出。 如果 status 欄位中的值是 COMPLETED，請繼續進行下一個步驟。 如果狀態不是 COMPLETED，請檢查 progress 欄位中的值，並在 5-10 分鐘後執行您在步驟 4 中執行的命令。

6. 檢閱輸出，並確定狀態為 COMPELETED。

7. 執行下列其中一個命令，將結果或從 JSON 檔案傳回的資料下載到目前系統上的資料夾：

   • 針對 QRadar 主控台使用者識別碼方法，請執行：

     curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

   • 針對 API 權杖方法，請執行：

     curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

8. 若要擷取您需要匯出的資料，請建立 AQL 查詢 (步驟 1-4)，然後再次 執行查詢 (步驟 1-7)。 調整時間範圍和搜尋查詢，以取得您需要的資料。

後續步驟

• 選取目標 Azure 平台來裝載匯出的歷程資料
• 選取資料擷取工具
• 將歷程資料擷取到目標平台