Export historických dat ze splunku

Tento článek popisuje, jak exportovat historická data ze splunku. Po dokončení kroků v tomto článku můžete vybrat cílovou platformu , která bude hostovat exportovaná data, a pak vybrat nástroj pro příjem dat pro migraci dat.

Data z Splunku můžete exportovat několika způsoby. Výběr metody exportu závisí na objemech dat a na vaší úrovni interaktivity. Například export jednoho vyhledávání na vyžádání prostřednictvím webu Splunk může být vhodné pro export s nízkým objemem. Případně pokud chcete nastavit vyšší svazek, naplánovaný export, sada SDK a možnosti REST fungují nejlépe.

U velkých exportů je dump nejstabilnější metodou načítání dat rozhraní příkazového řádku (CLI). Protokoly můžete exportovat do místní složky na serveru Splunk nebo do jiného serveru přístupného splunkem.

Pokud chcete exportovat historická data ze splunku, použijte jednu z metod exportu Splunk. Výstupní formát by měl být CSV.

Příklad rozhraní příkazového řádku

Tento příklad rozhraní příkazového řádku vyhledá události z indexu _internal , ke kterým dochází během časového intervalu, který určuje hledaný řetězec. Příklad pak určuje výstup událostí ve formátu CSV do souboru data.csv . Ve výchozím nastavení můžete exportovat maximálně 100 událostí. Pokud chcete toto číslo zvýšit, nastavte -maxout argument. Pokud jste například nastavili -maxout 0možnost , můžete exportovat neomezený počet událostí.

Tento příkaz rozhraní příkazového řádku exportuje data zaznamenaná mezi 23:59 a 01:00 14. září 2021 do souboru CSV:

splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv  

Příklad výpisu paměti

Tento dump příkaz exportuje všechny události z indexu bigdata do YYYYmmdd/HH/host umístění v $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ adresáři na místním disku. Tento příkaz se používá MyExport jako předpona pro export názvů souborů a výstupem výsledků do souboru CSV. Příkaz rozdělí exportovaná data pomocí eval funkce před příkazem dump .

index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv 

Další kroky

• Vyberte cílovou platformu Azure pro hostování exportovaných historických dat.
• Výběr nástroje pro příjem dat
• Ingestování historických dat do cílové platformy