将历史数据引入目标平台

在前面的文章中，你为历史数据 选择了目标平台 。 还选择了 一个工具来传输数据 并将历史数据存储在暂存位置。 现在可以开始将数据引入目标平台。

本文介绍如何将历史数据引入所选目标平台。

从旧版 SIEM 导出数据

通常，SIEM 可以将数据导出或转储到本地文件系统中的文件，因此可以使用此方法提取历史数据。 为导出的文件设置暂存位置也很重要。 用于传输数据引入的工具可以将文件从暂存位置复制到目标平台。

此图显示了高级导出和引入过程。

若要从当前 SIEM 导出数据，请参阅以下部分之一：

• 从 ArcSight 导出数据
• 从 Splunk 导出数据
• 从 QRadar 导出数据

引入到Azure 数据资源管理器

若要将历史数据引入Azure 数据资源管理器 (ADX) (上图中的选项 1) ：

1. 在导出日志的系统上安装并配置 LightIngest，或在有权访问导出日志的其他系统上安装 LightIngest。 LightIngest 仅支持 Windows。
2. 如果没有现有的 ADX 群集，请创建新群集并复制连接字符串。 了解如何 设置 ADX。
3. 在 ADX 中，创建表并为 QRadar) (的 CSV 或 JSON 格式定义架构。 了解如何创建表并定义包含示例数据或不带示例数据的架构。
4. 使用文件夹路径运行 LightIngest，其中包含导出的日志作为路径，ADX 连接字符串作为输出。 运行 LightIngest 时，请确保提供目标 ADX 表名称，参数模式设置为 *.csv，并且格式设置为 .csv (或 json QRadar) 。

将数据引入到Microsoft Sentinel辅助/基本日志

若要将历史数据引入Microsoft Sentinel辅助日志或基本日志， (上图中的选项 2) ：

1. 如果没有现有的 Log Analytics 工作区，请创建新工作区并安装Microsoft Sentinel。

2. 创建应用注册以针对 API 进行身份验证。

3. 创建自定义日志表 来存储数据，并提供数据示例。 在此步骤中，还可以在引入数据之前定义转换。

4. 从数据收集规则中收集信息 ，并向该规则分配权限。

5. 将表从“分析”更改为“辅助日志”或“基本日志”。

6. 运行 自定义日志引入脚本。 该脚本要求提供以下详细信息：

   • 要引入的日志文件的路径
   • Microsoft Entra租户 ID
   • 应用程序 ID
   • 应用程序机密
   • DCE 终结点 (使用 DCR) 的日志引入终结点 URI
   • DCR 不可变 ID
   • DCR 中的数据流名称

   该脚本返回已发送到工作区的事件数。

引入到Azure Blob 存储

若要将历史数据引入Azure Blob 存储 (上图中的选项 3) ：

1. 在将日志导出到的系统上安装并配置 AzCopy。 或者，在有权访问导出日志的另一个系统上安装 AzCopy。
2. 创建Azure Blob 存储帐户并复制授权Microsoft Entra ID凭据或共享访问签名令牌。
3. 使用文件夹路径运行 AzCopy，其中包含导出的日志作为源，并将Azure Blob 存储 连接字符串作为输出。

后续步骤

本文介绍了如何将数据引入目标平台。