将历史数据引入目标平台

在前面的文章中，你选择了 一个工具来传输数据 ，并将历史数据存储在暂存位置。 现在可以开始将数据引入目标平台。

本文介绍如何将历史数据引入所选的目标平台。

从旧版 SIEM 导出数据

通常，SIEM 可将数据导出或转储到本地文件系统中的文件，因此你可以使用此方法来提取历史数据。 为导出的文件设置暂存位置也很重要。 用于传输数据引入的工具可将暂存位置中的文件复制到目标平台。

若要从当前 SIEM 导出数据，请参阅以下部分之一：

• 从 ArcSight 导出数据
• 从 Splunk 导出数据
• 从 QRadar 导出数据

将数据引入 Microsoft Sentinel 基本日志

若要将历史数据引入 Microsoft Sentinel 基本日志：

1. 如果你没有现有的 Log Analytics 工作区，请创建一个新工作区并安装 Microsoft Sentinel。

2. 创建应用注册以针对 API 进行身份验证。

3. 创建一个自定义日志表用于存储数据，并提供数据样本。 在此步骤中，还可以在引入数据之前定义转换。

4. 从数据收集规则收集信息并为规则分配权限。

5. 将表从 Analytics 更改为基本日志。

6. 运行自定义日志引入脚本。 该脚本要求提供以下详细信息：

   • 要引入的日志文件的路径
   • Microsoft Entra 租户 ID
   • 应用程序 ID
   • 应用程序机密
   • DCE 终结点（使用 DCR 的日志引入终结点 URI）
   • DCR 不可变 ID
   • 来自 DCR 的数据流名称

   该脚本返回已发送到工作区的事件数。

引入到 Azure Blob 存储

若要将历史数据引入 Azure Blob 存储，请执行以下作：

1. 在要将日志导出到的系统上安装并配置 AzCopy。 或者，在可以访问导出的日志的另一个系统上安装 AzCopy。
2. 创建 Azure Blob 存储帐户，并复制授权的 Microsoft Entra ID 凭据或共享访问签名令牌。
3. 使用包含导出的日志作为源、包含 Azure Blob 存储连接字符串作为输出的文件夹路径运行 AzCopy。

后续步骤

在本文中，你已了解如何将数据引入目标平台。