你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从 Splunk 导出历史数据
本文介绍如何从 Splunk 导出历史数据。 完成本文中的步骤后,可以选择一个目标平台来托管导出的数据,然后选择一个引入工具来迁移数据。
可以通过多种方式从 Splunk 导出数据。 导出方法的选择取决于涉及的数据卷和你的交互性级别。 例如,通过 Splunk Web 导出一个按需搜索可能适用于低卷导出。 或者,如果要设置较高的卷、计划的导出,那么,SDK 和 REST 选项效果最佳。
对于大型导出,最稳定的数据检索方法则是 dump 或命令行接口 (CLI)。 可以将日志导出到 Splunk 服务器上的本地文件夹或 Splunk 可访问的另一台服务器。
若要从 Splunk 导出历史数据,请使用 Splunk 导出方法之一。 输出格式应为 CSV。
CLI 示例
此 CLI 示例从 _internal 索引中搜索在搜索字符串指定的时间段内发生的事件。 然后,该示例指定以 CSV 格式将事件输出到 data.csv 文件。在默认情况下,最多可以导出 100 个事件。 若要增加此数量,请设置 -maxout 参数。 例如,如果将 -maxout 设置为 0,则可以导出数量无限的事件。
此 CLI 命令将 2021 年 9 月 14 日 23:59 至 01:00 之间记录的数据导出到 CSV 文件:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
转储示例
此 dump 命令将所有事件从 bigdata 索引导出到本地磁盘上 $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ 目录下的 YYYYmmdd/HH/host 位置。 该命令使用 MyExport 作为导出文件名的前缀,并将结果输出到 CSV 文件。 该命令在 dump 命令之前使用 eval 函数对导出的数据进行分区。
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv