Exportar dados históricos do Splunk
Este artigo descreve como exportar seus dados históricos do Splunk. Depois de concluir as etapas neste artigo, você pode selecionar uma plataforma de destino para hospedar os dados exportados e, em seguida , selecionar uma ferramenta de ingestão para migrar os dados.
Você pode exportar dados do Splunk de várias maneiras. A seleção de um método de exportação depende dos volumes de dados envolvidos e do seu nível de interatividade. Por exemplo, exportar uma única pesquisa sob demanda via Splunk Web pode ser apropriado para uma exportação de baixo volume. Como alternativa, se você quiser configurar uma exportação agendada de maior volume, as opções SDK e REST funcionam melhor.
Para grandes exportações, o método mais estável para recuperação de dados é dump ou a interface de linha de comando (CLI). Você pode exportar os logs para uma pasta local no servidor Splunk ou para outro servidor acessível pelo Splunk.
Para exportar seus dados históricos do Splunk, use um dos métodos de exportação Splunk. O formato de saída deve ser CSV.
Exemplo de CLI
Este exemplo de CLI procura eventos do _internal índice que ocorrem durante a janela de tempo especificada pela cadeia de caracteres de pesquisa. O exemplo especifica a saída dos eventos em um formato CSV para o arquivo data.csv . Você pode exportar um máximo de 100 eventos por padrão. Para aumentar esse número, defina o -maxout argumento. Por exemplo, se você definir -maxout como 0, poderá exportar um número ilimitado de eventos.
Este comando da CLI exporta dados gravados entre 23:59 e 01:00 de 14 de setembro de 2021 para um arquivo CSV:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
exemplo de despejo
Este dump comando exporta todos os eventos do índice para o bigdata YYYYmmdd/HH/host local sob o $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ diretório em um disco local. O comando usa MyExport como prefixo para exportar nomes de arquivos e gera os resultados para um arquivo CSV. O comando particiona os dados exportados usando a eval função antes do dump comando.
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv