Exportar dados históricos do ArcSight

Este artigo descreve como exportar seus dados históricos do ArcSight. Depois de concluir as etapas neste artigo, você pode selecionar uma plataforma de destino para hospedar os dados exportados e selecionar uma ferramenta de ingestão para migrar os dados.

Você pode exportar dados do ArcSight de várias maneiras. A seleção de um método de exportação depende dos volumes de dados e do ambiente do ArcSight implantado. Você pode exportar os logs para uma pasta local no servidor ArcSight ou para outro servidor acessível pelo ArcSight.

Para exportar os dados, use um dos seguintes métodos:

• Ferramenta de Transferência de Dados de Eventos do ArcSight: use essa opção para grandes volumes de dados, ou seja, terabytes (TB).
• ferramenta lacat: usar para volumes de dados com menos de um TB.

Ferramenta de Transferência de Dados de Eventos do ArcSight

Use a ferramenta transferência de dados de eventos para exportar dados do ArcSight Enterprise Security Manager (ESM) versão 7.x. Para exportar dados do agente do ArcSight, use o utilitário lacat.

A ferramenta de Transferência de Dados de Eventos recupera dados de eventos do ESM, o que permite combinar a análise com dados não estruturados, além dos dados em CEF. A ferramenta de Transferência de Dados de Eventos exporta eventos ESM em três formatos: CEF, CSV e pares chave-valor.

Para exportar dados usando a ferramenta de Transferência de Dados de Eventos:

1. Instale e configure a Ferramenta de Transferência de Eventos.

2. Configure a exportação de logs para usar um formato CSV. Por exemplo, esse comando exporta dados registrados entre as 15h45 e 16h45 de 4 de maio de 2016 para um arquivo CSV:

       arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00" 
   

Utilitário lacat

Use esse utilitário lacat para exportar dados do agente do ArcSight. O lacat exporta registros em CEF de um arquivo de arquivo de camada de arquivos do agente e imprime os registros para stdout. Você pode redirecionar os registros para um arquivo ou redirecionar o arquivo para manipulação adicional com opções como grep ou awk.

Para exportar dados com o utilitário lacat:

1. Baixar o utilitário lacat. Para grandes volumes de dados, sugerimos que você modifique o script para obter melhor desempenho. Use a versão modificada.
2. Siga os exemplos no repositório lacat sobre como executar o script.

Próximas etapas

• Selecionar uma plataforma do Azure de destino para hospedar os dados históricos exportados
• Selecionar uma ferramenta de ingestão de dados
• Ingerir dados históricos em sua plataforma de destino