Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Ihre Verlaufsdaten aus ArcSight exportieren. Nachdem Sie die Schritte in diesem Artikel ausgeführt haben, können Sie eine Zielplattform zum Hosten der exportierten Daten und dann ein Erfassungstool auswählen , um die Daten zu migrieren.
Sie können Daten aus ArcSight auf verschiedene Arten exportieren. Ihre Auswahl einer Exportmethode hängt von den Datenvolumes und der bereitgestellten ArcSight-Umgebung ab. Sie können die Protokolle in einen lokalen Ordner auf dem ArcSight-Server oder auf einen anderen Server exportieren, auf den ArcSight zugreifen kann.
Verwenden Sie zum Exportieren der Daten eine der folgenden Methoden:
- ArcSight Event Data Transfer Tool: Verwenden Sie diese Option für große Datenmengen, nämlich Terabyte (TB).
- lacat-Tool: Wird für Datenvolumen verwendet, die kleiner als ein TB sind.
ArcSight-Ereignisdatenübertragungstool
Verwenden Sie das Event Data Transfer-Tool, um Daten aus ArcSight Enterprise Security Manager (ESM) Version 7.x zu exportieren. Verwenden Sie zum Exportieren von Daten aus der ArcSight-Protokollierung das Hilfsprogramm lacat.
Das Event Data Transfer-Tool ruft Ereignisdaten aus ESM ab, mit dem Sie zusätzlich zu den CEF-Daten Analysen mit unstrukturierten Daten kombinieren können. Das Ereignisdatenübertragungstool exportiert ESM-Ereignisse in drei Formaten: CEF, CSV und Schlüssel-Wert-Paare.
So exportieren Sie Daten mit dem Ereignisdatenübertragungstool:
Installieren und konfigurieren Sie das Ereignisübertragungstool.
Konfigurieren Sie den Protokollexport für die Verwendung eines CSV-Formats. Dieser Befehl exportiert beispielsweise Daten, die am 4. Mai 2016 zwischen 15:45 und 16:45 Uhr aufgezeichnet wurden, in eine CSV-Datei:
arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00"
lacat-Hilfsprogramm
Verwenden Sie das Hilfsprogramm lacat, um Daten aus ArcSight Logger zu exportieren. lacat exportiert CEF-Datensätze aus einer Logger-Archivdatei und gibt die Datensätze in aus stdout. Sie können die Datensätze an eine Datei umleiten oder die Datei zur weiteren Bearbeitung mit Optionen wie grep oder awkweiterleiten.
So exportieren Sie Daten mit dem Hilfsprogramm lacat:
- Laden Sie das Hilfsprogramm lacat herunter. Für große Datenmengen empfehlen wir, das Skript zu ändern, um die Leistung zu verbessern. Verwenden Sie die geänderte Version.
- Befolgen Sie die Beispiele im lacat-Repository zum Ausführen des Skripts.