将历史数据引入目标平台

在前面的文章中，你选择了一个用于传输数据的工具，并将历史数据存储在暂存位置。 现在可以开始将数据引入目标平台。

本文介绍如何将历史数据引入所选的目标平台。

从旧版 SIEM 导出数据

通常，SIEM 可以将数据导出或转储到本地文件系统中的文件，因此可以使用此方法提取历史数据。 务必为导出的文件设置暂存位置。 用于传输数据引入的工具可以将文件从暂存位置复制到目标平台。

若要从当前 SIEM 导出数据，请参阅以下部分之一：

• 从 ArcSight 导出数据
• 从 Splunk 导出数据
• 从 QRadar 导出数据

引入到 Azure Blob 存储

若要将历史数据引入 Azure Blob 存储（上图中的选项 3），请执行以下操作：

1. 在要将日志导出到的系统上安装并配置 AzCopy。 或者，在可以访问导出的日志的另一个系统上安装 AzCopy。
2. 创建 Azure Blob 存储帐户，并复制授权的 Microsoft Entra ID 凭据或共享访问签名令牌。
3. 使用包含导出的日志作为源、包含 Azure Blob 存储连接字符串作为输出的文件夹路径运行 AzCopy。

后续步骤

在本文中，你已了解如何将数据引入目标平台。