Exportieren von Verlaufsdaten aus QRadar

In diesem Artikel wird beschrieben, wie Sie Ihre Verlaufsdaten aus QRadar exportieren. Nachdem Sie die Schritte in diesem Artikel ausgeführt haben, können Sie eine Zielplattform zum Hosten der exportierten Daten und dann ein Erfassungstool auswählen , um die Daten zu migrieren.

Diagramm, das die Schritte zeigt, die an export- und erfassungsbeteiligten Schritten beteiligt sind.

Zum Exportieren Ihrer QRadar-Daten verwenden Sie die QRadar-REST-API, um AQL-Abfragen (Ariel Query Language) für Daten auszuführen, die in einer Ariel-Datenbank gespeichert sind. Da der Exportvorgang ressourcenintensiv ist, empfehlen wir, kleine Zeitbereiche in Ihren Abfragen zu verwenden und nur die benötigten Daten zu migrieren.

Erstellen einer AQL-Abfrage

  1. Wählen Sie in der QRadar-Konsole die Registerkarte Protokollaktivität aus.

  2. Erstellen Sie eine neue AQL-Suchabfrage, oder wählen Sie eine gespeicherte Suchabfrage aus, um die Daten zu exportieren. Stellen Sie sicher, dass die Abfrage die START Funktionen und STOP enthält, um den Datums- und Zeitbereich festzulegen.

    Erfahren Sie, wie Sie AQL verwenden und Suchkriterien in AQL speichern.

  3. Kopieren Sie die AQL-Abfrage zur späteren Verwendung.

  4. Codieren Sie die AQL-Abfrage in das URL-codierte Format. Fügen Sie die Abfrage, die Sie in Schritt 3 kopiert haben , in den Decoder ein. Kopieren Sie die ausgabe des codierten Formats.

Ausführen der Suchabfrage

Sie können die Suchabfrage mit einer dieser Methoden ausführen.

  • Benutzer-ID der QRadar-Konsole. Um diese Methode zu verwenden, stellen Sie sicher, dass die konsolenbenutzer-ID, die für die Datenmigration verwendet wird, einem Sicherheitsprofil zugewiesen ist, das auf die Daten zugreifen kann, die Sie für den Export benötigen.
  • API-Token. Um diese Methode zu verwenden, generieren Sie ein API-Token in QRadar.

So führen Sie die Suchabfrage aus:

  1. Melden Sie sich bei dem System an, von dem Sie die Verlaufsdaten herunterladen. Stellen Sie sicher, dass dieses System über HTTPS Zugriff auf die QRadar-Konsole und die QRadar-API unter TCP/443 hat.

  2. Um die Suchabfrage auszuführen, die die Verlaufsdaten abruft, öffnen Sie eine Eingabeaufforderung, und führen Sie einen der folgenden Befehle aus:

    • Führen Sie für die Benutzer-ID-Methode der QRadar-Konsole Folgendes aus:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • Führen Sie für die API-Tokenmethode Folgendes aus:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      Die Ausführungszeit des Suchauftrags kann abhängig vom AQL-Zeitbereich und der Menge der abgefragten Daten variieren. Es wird empfohlen, die Abfrage in kleinen Zeitbereichen auszuführen und nur die Daten abzufragen, die Sie für den Export benötigen.

      Die Ausgabe sollte eine status zurückgeben, zCOMPLETED. B. , EXECUTE, , WAITeinen progress -Wert und einen search_id -Wert. Zum Beispiel:

      Screenshot der Ausgabe des Suchabfragebefehls.

  3. Kopieren Sie den Wert in das search_id Feld. Sie verwenden diese ID, um den Fortschritt und status der Ausführung der Suchabfrage zu überprüfen und die Ergebnisse herunterzuladen, nachdem die Suchausführung abgeschlossen ist.

  4. Führen Sie einen der folgenden Befehle aus, um die status und den Status der Suche zu überprüfen:

    • Führen Sie für die Benutzer-ID-Methode der QRadar-Konsole Folgendes aus:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • Führen Sie für die API-Tokenmethode Folgendes aus:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. Überprüfen Sie die Ausgabe. Wenn der Wert im status Feld lautet COMPLETED, fahren Sie mit dem nächsten Schritt fort. Wenn die status nicht COMPLETEDist, überprüfen Sie den Wert im progress Feld, und führen Sie nach 5 bis 10 Minuten den Befehl aus, den Sie in Schritt 4 ausgeführt haben.

  6. Überprüfen Sie die Ausgabe, und stellen Sie sicher, dass die status istCOMPLETED.

  7. Führen Sie einen der folgenden Befehle aus, um die Ergebnisse oder zurückgegebenen Daten aus der JSON-Datei in einen Ordner auf dem aktuellen System herunterzuladen:

    • Führen Sie für die Benutzer-ID-Methode der QRadar-Konsole Folgendes aus:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • Führen Sie für die API-Tokenmethode Folgendes aus:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. Um die zu exportierenden Daten abzurufen, erstellen Sie die AQL-Abfrage (Schritte 1 bis 4), und führen Sie die Abfrage (Schritte 1 bis 7) erneut aus. Passen Sie den Zeitbereich und die Suchabfragen an, um die benötigten Daten zu erhalten.

Nächste Schritte

  • Last updated on