Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve como exportar os seus dados históricos do Splunk. Depois de concluir os passos neste artigo, pode selecionar uma plataforma de destino para alojar os dados exportados e, em seguida, selecionar uma ferramenta de ingestão para migrar os dados.
Pode exportar dados do Splunk de várias formas. A seleção de um método de exportação depende dos volumes de dados envolvidos e do seu nível de interatividade. Por exemplo, exportar uma única pesquisa a pedido através do Splunk Web pode ser adequado para uma exportação de baixo volume. Em alternativa, se quiser configurar uma exportação agendada de maior volume, as opções SDK e REST funcionam melhor.
Para exportações grandes, o método mais estável para a obtenção de dados é dump ou a Interface de Linha de Comandos (CLI). Pode exportar os registos para uma pasta local no servidor Splunk ou para outro servidor acessível pelo Splunk.
Para exportar os seus dados históricos do Splunk, utilize um dos métodos de exportação do Splunk. O formato de saída deve ser CSV.
Exemplo da CLI
Este exemplo da CLI procura eventos do _internal índice que ocorrem durante o período de tempo especificado pela cadeia de pesquisa. Em seguida, o exemplo especifica a saída dos eventos num formato CSV para o ficheiro data.csv . Pode exportar um máximo de 100 eventos por predefinição. Para aumentar este número, defina o -maxout argumento . Por exemplo, se definir -maxout como 0, pode exportar um número ilimitado de eventos.
Este comando da CLI exporta os dados registados entre as 23:59 e as 01:00 de 14 de setembro de 2021 para um ficheiro CSV:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
exemplo de informação de falha de sistema
Este dump comando exporta todos os eventos do bigdata índice para a YYYYmmdd/HH/host localização no $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ diretório num disco local. O comando utiliza MyExport como prefixo para exportar nomes de ficheiro e produz os resultados para um ficheiro CSV. O comando particiona os dados exportados com a eval função antes do dump comando .
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv