Historische gegevens exporteren uit Splunk
In dit artikel wordt beschreven hoe u uw historische gegevens exporteert uit Splunk. Nadat u de stappen in dit artikel hebt voltooid, kunt u een doelplatform selecteren om de geëxporteerde gegevens te hosten en vervolgens een opnamehulpprogramma selecteren om de gegevens te migreren.
U kunt gegevens op verschillende manieren exporteren uit Splunk. Uw selectie van een exportmethode is afhankelijk van de betrokken gegevensvolumes en uw interactiviteitsniveau. Als u bijvoorbeeld één zoekopdracht op aanvraag via Splunk Web exporteert, kan dit geschikt zijn voor een export met een laag volume. Als u een hoger volume, geplande export wilt instellen, werken de SDK- en REST-opties het beste.
Voor grote exports is dump de meest stabiele methode voor het ophalen van gegevens of de OPDRACHTREGELinterface (CLI). U kunt de logboeken exporteren naar een lokale map op de Splunk-server of naar een andere server die toegankelijk is voor Splunk.
Als u uw historische gegevens uit Splunk wilt exporteren, gebruikt u een van de Splunk-exportmethoden. De uitvoerindeling moet CSV zijn.
CLI-voorbeeld
In dit CLI-voorbeeld wordt gezocht naar gebeurtenissen uit de _internal index die optreden tijdens het tijdvenster dat door de zoekreeks wordt opgegeven. In het voorbeeld wordt vervolgens opgegeven dat de gebeurtenissen in een CSV-indeling moeten worden uitgevoerd naar het data.csv-bestand . U kunt standaard maximaal 100 gebeurtenissen exporteren. Als u dit getal wilt verhogen, stelt u het -maxout argument in. Als u bijvoorbeeld instelt -maxout 0op , kunt u een onbeperkt aantal gebeurtenissen exporteren.
Met deze CLI-opdracht worden gegevens geëxporteerd die zijn vastgelegd tussen 23:59 en 01:00 op 14 september 2021 naar een CSV-bestand:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
voorbeeld van dump
Met deze dump opdracht exporteert u alle gebeurtenissen uit de bigdata index naar de YYYYmmdd/HH/host locatie onder de $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ map op een lokale schijf. De opdracht gebruikt MyExport als voorvoegsel voor het exporteren van bestandsnamen en voert de resultaten uit naar een CSV-bestand. De opdracht partitioneert de geëxporteerde gegevens met behulp van de eval functie vóór de dump opdracht.
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor