從 Splunk 匯出歷程資料
本文章說明如何從 Splunk 匯出歷程資料。 完成本文中的步驟之後,您可以選取目標平台來裝載匯出的資料,然後選取擷取工具來移轉資料。
您可以透過數種方式從 Splunk 匯出資料。 您的匯出方法選項取決於涉及的資料量,以及互動性層級。 例如,透過 Splunk Web 匯出單一隨選搜尋可能適用於低量匯出。 或者,如果您想要設定較高的資料量、排程的匯出,則 SDK 和 REST 選項效果最佳。
對於大型匯出,資料擷取的最穩定方法是 dump 或命令列介面 (CLI)。 您可以將記錄匯出至 Splunk 伺服器上的本機資料夾,或匯出至 Splunk 可存取的另一部伺服器。
若要從 Splunk 匯出歷程記錄資料,請使用其中一個 Splunk 匯出方法。 輸出格式應該是 CSV。
CLI 範例
此 CLI 範例會從搜尋字串所指定時間範圍期間發生的 _internal 索引中搜尋事件。 然後,此範例會指定將 CSV 格式的事件輸出至 data.csv 檔案。根據預設,您可以匯出最多 100 個事件。 若要增加這個數字,請設定 -maxout 引數。 例如,如果您將 -maxout 設定為 0,則可以匯出不限數目的事件。
此 CLI 命令會將 2021 年 9 月 14 日 23:59 到 01:00 之間記錄的資料匯出至 CSV 檔案:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
傾印範例
此 dump 命令會將 bigdata 索引中的所有事件匯出至本機磁碟上 $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ 目錄底下的 YYYYmmdd/HH/host 位置。 此命令會使用 MyExport 作為匯出檔案名的前置詞,並將結果輸出至 CSV 檔案。 命令會在 dump 命令前面使用 eval 函式來分割匯出的資料。
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv