この記事では、ArcSight から履歴データをエクスポートする方法について説明します。 この記事の手順を完了したら、エクスポートされたデータをホストする ターゲット プラットフォームを選択 し、 インジェスト ツールを選択 してデータを移行できます。
ArcSight からデータをエクスポートする方法はいくつかあります。 エクスポート方法の選択は、データ ボリュームとデプロイされた ArcSight 環境によって異なります。 ログは、ArcSight サーバー上のローカル フォルダーまたは ArcSight からアクセスできる別のサーバーにエクスポートできます。
データをエクスポートするには、次のいずれかの方法を使用します。
- ArcSight イベント データ転送ツール: このオプションは、大量のデータ (テラバイト (TB)) に使用します。
- lacat ツール: TB より小さいデータのボリュームに使用します。
ArcSight イベント データ転送ツール
イベント データ転送ツールを使用して、ArcSight Enterprise Security Manager (ESM) バージョン 7.x からデータをエクスポートします。 ArcSight Logger からデータをエクスポートするには、 lacat ユーティリティを使用します。
イベント データ転送ツールは、ESM からイベント データを取得します。これにより、CEF データに加えて、非構造化データと分析を組み合わせることができます。 イベント データ転送ツールは、CEF、CSV、およびキーと値のペアの 3 つの形式で ESM イベントをエクスポートします。
イベント データ転送ツールを使用してデータをエクスポートするには:
CSV 形式を使用するようにログエクスポートを構成します。 たとえば、このコマンドは、2016 年 5 月 4 日の 15:45 から 16:45 の間に記録されたデータを CSV ファイルにエクスポートします。
arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00"
lacat ユーティリティ
lacat ユーティリティを使用して、ArcSight Logger からデータをエクスポートします。 lacat は、ロガー アーカイブ ファイルから CEF レコードをエクスポートし、レコードを stdoutに出力します。 レコードをファイルにリダイレクトしたり、 grep や awkなどのオプションを使用してファイルをパイプ操作したりできます。
lacat ユーティリティを使用してデータをエクスポートするには:
- lacat ユーティリティをダウンロードします。 大量のデータの場合は、パフォーマンスを向上させるためにスクリプトを変更することをお勧めします。 変更したバージョンを使用します。
- スクリプトの実行方法については、lacat リポジトリの例に従ってください。