Exportera historiska data från Splunk
I den här artikeln beskrivs hur du exporterar historiska data från Splunk. När du har slutfört stegen i den här artikeln kan du välja en målplattform som värd för exporterade data och sedan välja ett inmatningsverktyg för att migrera data.
Du kan exportera data från Splunk på flera sätt. Valet av en exportmetod beror på de datavolymer som ingår och din interaktivitetsnivå. Det kan till exempel vara lämpligt att exportera en enkel sökning på begäran via Splunk Web för en export med låg volym. Om du vill konfigurera en schemalagd export med högre volym fungerar alternativen SDK och REST bäst.
För stora exporter är dump den mest stabila metoden för datahämtning eller kommandoradsgränssnittet (CLI). Du kan exportera loggarna till en lokal mapp på Splunk-servern eller till en annan server som kan nås av Splunk.
Om du vill exportera historiska data från Splunk använder du någon av Splunk-exportmetoderna. Utdataformatet ska vara CSV.
CLI-exempel
Det här CLI-exemplet söker efter händelser från indexet _internal som inträffar under det tidsfönster som söksträngen anger. Exemplet anger sedan att händelserna ska matas ut i CSV-format till filen data.csv . Du kan exportera högst 100 händelser som standard. Om du vill öka det här talet anger du -maxout argumentet. Om du till exempel anger -maxout till 0kan du exportera ett obegränsat antal händelser.
Det här CLI-kommandot exporterar data som registrerats mellan 23:59 och 01:00 den 14 september 2021 till en CSV-fil:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
dumpexempel
Det här dump kommandot exporterar alla händelser från indexet bigdata till platsen YYYYmmdd/HH/host under $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ katalogen på en lokal disk. Kommandot använder MyExport som prefix för export av filnamn och matar ut resultatet till en CSV-fil. Kommandot partitioner exporterade data med hjälp av eval funktionen före dump kommandot.
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv