Splunk에서 기록 데이터 내보내기
이 문서에서는 Splunk에서 기록 데이터를 내보내는 방법을 설명합니다. 이 문서의 단계를 완료한 후 내보낸 데이터를 호스팅할 대상 플랫폼을 선택한 다음 수집 도구를 선택하여 데이터를 마이그레이션할 수 있습니다.
여러 가지 방법으로 Splunk에서 데이터를 내보낼 수 있습니다. 내보내기 방법 선택은 관련된 데이터 볼륨과 상호 작용 수준에 따라 다릅니다. 예를 들어 Splunk Web을 통해 단일 주문형 검색을 내보내는 것은 낮은 볼륨 내보내기에 적합할 수 있습니다. 또는 더 높은 볼륨의 예약된 내보내기를 설정하려는 경우 SDK 및 REST 옵션이 가장 잘 작동합니다.
대규모 내보내기의 경우 가장 안정적인 데이터 검색 방법은 dump 또는 CLI(명령줄 인터페이스)입니다. 로그를 Splunk 서버의 로컬 폴더나 Splunk에서 액세스할 수 있는 다른 서버로 내보낼 수 있습니다.
Splunk에서 이전 데이터를 내보내려면 Splunk 내보내기 방법 중 하나를 사용합니다. 출력 형식은 CSV여야 합니다.
CLI 예
이 CLI 예는 검색 문자열이 지정하는 기간 동안 발생하는 _internal 인덱스에서 이벤트를 검색합니다. 그런 다음 이 예에서는 이벤트를 CSV 형식으로 data.csv 파일에 출력하도록 지정합니다. 기본적으로 최대 100개의 이벤트를 내보낼 수 있습니다. 이 숫자를 늘리려면 -maxout 인수를 설정합니다. 예를 들어 -maxout을 0으로 설정하면 이벤트를 무제한으로 내보낼 수 있습니다.
이 CLI 명령은 23:59에서 2021년 9월 14일 01:00 사이에 기록된 데이터를 CSV 파일로 내보냅니다.
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
덤프 예
이 dump 명령은 bigdata 인덱스의 모든 이벤트를 로컬 디스크의 $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ 디렉터리 아래 YYYYmmdd/HH/host 위치로 내보냅니다. 이 명령은 내보내기 파일 이름의 접두사로 MyExport를 사용하고 결과를 CSV 파일로 출력합니다. 이 명령은 dump 명령보다 먼저 eval 기능을 사용하여 내보낸 데이터를 분할합니다.
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv