Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo exportar los datos históricos de ArcSight. Después de completar los pasos de este artículo, puede seleccionar una plataforma de destino para hospedar los datos exportados y, a continuación, seleccionar una herramienta de ingesta para migrar los datos.
Puede exportar datos desde ArcSight de varias maneras. La selección de un método de exportación depende de los volúmenes de datos y del entorno de ArcSight implementado. Puede exportar los registros a una carpeta local en el servidor de ArcSight o a otro servidor accesible por ArcSight.
Para exportar los datos, use uno de los métodos siguientes:
- Herramienta de transferencia de datos de eventos de ArcSight: use esta opción para grandes volúmenes de datos, es decir, terabytes (TB).
- herramienta lacat: se usa para volúmenes de datos menores que una TB.
Herramienta de transferencia de datos de eventos de ArcSight
Use la herramienta De transferencia de datos de eventos para exportar datos desde ArcSight Enterprise Security Manager (ESM) versión 7.x. Para exportar datos desde ArcSight Logger, use la utilidad lacat.
La herramienta De transferencia de datos de eventos recupera datos de eventos de ESM, lo que permite combinar el análisis con datos no estructurados, además de los datos cef. La herramienta de transferencia de datos de eventos exporta eventos ESM en tres formatos: CEF, CSV y pares clave-valor.
Para exportar datos mediante la herramienta De transferencia de datos de eventos:
Instale y configure la herramienta de transferencia de eventos.
Configure la exportación de registros para usar un formato CSV. Por ejemplo, este comando exporta los datos registrados entre las 15:45 y las 16:45 del 4 de mayo de 2016 a un archivo CSV:
arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00"
utilidad lacat
Use la utilidad lacat para exportar datos desde ArcSight Logger. lacat exporta los registros CEF desde un archivo de archivo de registrador e imprime los registros en stdout. Puede redirigir los registros a un archivo o canalizarlo para su posterior manipulación con opciones como grep o awk.
Para exportar datos con la utilidad lacat:
- Descargue la utilidad lacat. Para grandes volúmenes de datos, se recomienda modificar el script para mejorar el rendimiento. Use la versión modificada.
- Siga los ejemplos del repositorio de lacat sobre cómo ejecutar el script.