Esportare i dati cronologici da Splunk
Questo articolo descrive come esportare i dati cronologici da Splunk. Dopo aver completato i passaggi descritti in questo articolo, è possibile selezionare una piattaforma di destinazione per ospitare i dati esportati e quindi selezionare uno strumento di inserimento per eseguire la migrazione dei dati.
È possibile esportare i dati da Splunk in diversi modi. La selezione di un metodo di esportazione dipende dai volumi di dati coinvolti e dal livello di interattività. Ad esempio, l'esportazione di una singola ricerca su richiesta tramite Splunk Web potrebbe essere appropriata per un'esportazione a basso volume. In alternativa, se si vuole configurare un volume superiore, l'esportazione pianificata, le opzioni SDK e REST funzionano meglio.
Per le esportazioni di grandi dimensioni, il metodo più stabile per il recupero dei dati è o l'interfaccia della riga di comando.For large export, the most stable method for data retrieval is dump or the Command Line Interface (CLI). È possibile esportare i log in una cartella locale nel server Splunk o in un altro server accessibile da Splunk.
Per esportare i dati cronologici da Splunk, usare uno dei metodi di esportazione di Splunk. Il formato di output deve essere CSV.
Esempio di interfaccia della riga di comando
Questo esempio dell'interfaccia della riga di comando cerca gli eventi dell'indice che si verificano durante l'intervallo _internal di tempo specificato dalla stringa di ricerca. L'esempio specifica quindi di restituire gli eventi in un formato CSV al file data.csv . Per impostazione predefinita, è possibile esportare un massimo di 100 eventi. Per aumentare questo numero, impostare l'argomento -maxout . Ad esempio, se si imposta su -maxout 0, è possibile esportare un numero illimitato di eventi.
Questo comando dell'interfaccia della riga di comando esporta i dati registrati tra le 23:59 e le 01:00 il 14 settembre 2021 in un file CSV:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
Esempio di dump
Questo dump comando esporta tutti gli eventi dall'indice bigdata nel YYYYmmdd/HH/host percorso nella $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ directory in un disco locale. Il comando usa MyExport come prefisso per esportare i nomi file e restituisce i risultati in un file CSV. Il comando partiziona i dati esportati usando la eval funzione prima del dump comando .
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv