Splunk'tan geçmiş verileri dışarı aktarma
Bu makalede, Splunk'tan geçmiş verilerinizin nasıl dışarı aktarıldığı açıklanır. Bu makaledeki adımları tamamladıktan sonra, dışarı aktarılan verileri barındırmak için bir hedef platform seçebilir ve ardından verileri geçirmek için bir alma aracı seçebilirsiniz.
Splunk'tan verileri çeşitli yollarla dışarı aktarabilirsiniz. Dışarı aktarma yöntemi seçiminiz, ilgili veri birimlerine ve etkileşim düzeyinize bağlıdır. Örneğin, Splunk Web aracılığıyla tek bir isteğe bağlı aramayı dışarı aktarmak düşük hacimli dışarı aktarma için uygun olabilir. Alternatif olarak, daha yüksek hacimli, zamanlanmış bir dışarı aktarma ayarlamak istiyorsanız SDK ve REST seçenekleri en iyi şekilde çalışır.
Büyük dışarı aktarmalar için, veri alma için en kararlı yöntem veya Komut Satırı Arabirimi 'dir dump (CLI). Günlükleri Splunk sunucusundaki yerel bir klasöre veya Splunk tarafından erişilebilen başka bir sunucuya aktarabilirsiniz.
Geçmiş verilerinizi Splunk'tan dışarı aktarmak için Splunk dışarı aktarma yöntemlerinden birini kullanın. Çıkış biçimi CSV olmalıdır.
CLI örneği
Bu CLI örneği, arama dizesinin _internal belirttiği zaman penceresi sırasında dizinden gelen olayları arar. Örnek daha sonra olayların CSV biçiminde data.csv dosyasına çıkışını belirtir. Varsayılan olarak en fazla 100 olayı dışarı aktarabilirsiniz. Bu sayıyı artırmak için bağımsız değişkeni ayarlayın -maxout . Örneğin, olarak 0ayarlarsanız -maxout sınırsız sayıda olayı dışarı aktarabilirsiniz.
Bu CLI komutu, 14 Eylül 2021'de 23:59 ile 01:00 arasında kaydedilen verileri CSV dosyasına aktarır:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
döküm örneği
Bu dump komut, dizindeki bigdata tüm olayları yerel disk üzerindeki YYYYmmdd/HH/host $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ dizinin altındaki konuma aktarır. komutu, dosya adlarını dışarı aktarmak için ön ek olarak kullanır MyExport ve sonuçları bir CSV dosyasına gönderir. komutu, komutundan önceki dump işlevini kullanarak eval dışarı aktarılan verileri bölümlere ayırır.
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv