次の方法で共有


Splunk から履歴データをエクスポートする

この記事では、Splunk から履歴データをエクスポートする方法について説明します。 この記事の手順を完了したら、エクスポートされたデータをホストするターゲット プラットフォームを選択し、それからインジェスト ツールを選択してデータを移行できます。

Diagram illustrating steps involved in export and ingestion.

Splunk からデータをエクスポートするには、いくつかの方法があります。 エクスポート方法の選択は、関連するデータ ボリュームとあなたの操作能力のレベルによって異なります。 たとえば、ひとつのオンデマンド検索を Splunk Web を介してエクスポートするのは、低ボリュームのエクスポートに適しているでしょう。 反対に高ボリュームのスケジュールされたエクスポートを設定する場合は、SDK と REST のオプションが最適です。

大規模なエクスポートの場合、データ取得の最も安定した方法は dump、またはコマンド ライン インターフェイス (CLI) です。 ログを、Splunk サーバー上のローカル フォルダーまたは Splunk からアクセスできる別のサーバーにエクスポートできます。

Splunk から履歴データをエクスポートするには、Splunk エクスポート方法のいずれかを使用します。 出力形式は CSV にする必要があります。

CLI の例

次の CLI の例では、検索文字列が指定する時間枠内に発生する _internal インデックスからイベントを検索します。 この例は次にイベントを CSV 形式で data.csv ファイルに出力するように指定します。既定では、最大 100 個のイベントをエクスポートできます。 この数を増やすには、-maxout 引数を設定します。 たとえば、-maxout0 に設定した場合、無制限の数のイベントをエクスポートできます。

この CLI コマンドは、2021 年 9 月 14 日の 23:59 から 01:00 の間に記録されたデータを CSV ファイルにエクスポートします。

splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv  

ダンプの例

この dump コマンドは、bigdata インデックスのすべてのイベントをローカル ディスク上の $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ ディレクトリの下の YYYYmmdd/HH/host の場所にエクスポートします。 コマンドでは MyExport をエクスポート ファイル名のプレフィックスとして使用し、結果を CSV ファイルに出力します。 コマンドでは、dump コマンドの前に eval 関数を使用して、エクスポートされたデータをパーティション分割します。

index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv 

次のステップ