Exportar dados históricos do ArcSight

Este artigo descreve como exportar os seus dados históricos do ArcSight. Depois de concluir os passos neste artigo, pode selecionar uma plataforma de destino para alojar os dados exportados e, em seguida, selecionar uma ferramenta de ingestão para migrar os dados.

Pode exportar dados do ArcSight de várias formas. A seleção de um método de exportação depende dos volumes de dados e do ambiente do ArcSight implementado. Pode exportar os registos para uma pasta local no servidor arcSight ou para outro servidor acessível pelo ArcSight.

Para exportar os dados, utilize um dos seguintes métodos:

• Ferramenta de Transferência de Dados de Eventos do ArcSight: utilize esta opção para grandes volumes de dados, nomeadamente terabytes (TB).
• ferramenta de lacat: utilize para volumes de dados menores do que uma TB.

Ferramenta de Transferência de Dados de Eventos do ArcSight

Utilize a ferramenta Transferência de Dados de Eventos para exportar dados do ArcSight Enterprise Security Manager (ESM) versão 7.x. Para exportar dados do ArcSight Logger, utilize o utilitário lacat.

A ferramenta Transferência de Dados de Eventos obtém dados de eventos do ESM, o que lhe permite combinar análises com dados não estruturados, além dos dados CEF. A ferramenta Transferência de Dados de Eventos exporta eventos ESM em três formatos: CEF, CSV e pares chave-valor.

Para exportar dados com a ferramenta Transferência de Dados de Eventos:

1. Instale e configure a Ferramenta de Transferência de Eventos.

2. Configure a exportação de registos para utilizar um formato CSV. Por exemplo, este comando exporta os dados registados entre as 15:45 e as 16:45 de 4 de maio de 2016 para um ficheiro CSV:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

utilitário lacat

Utilize o utilitário lacat para exportar dados do Logger do ArcSight. O lacat exporta registos CEF de um ficheiro de arquivo logger e imprime os registos para stdout. Pode redirecionar os registos para um ficheiro ou encaminhar o ficheiro para uma maior manipulação com opções como grep ou awk.

Para exportar dados com o utilitário lacat:

1. Transfira o utilitário lacat. Para grandes volumes de dados, sugerimos que modifique o script para um melhor desempenho. Utilize a versão modificada.
2. Siga os exemplos no repositório lacat sobre como executar o script.

Passos seguintes

• Selecionar uma plataforma do Azure de destino para alojar os dados históricos exportados
• Selecionar uma ferramenta de ingestão de dados
• Ingerir dados históricos na sua plataforma de destino