Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment exporter vos données historiques à partir de Splunk. Après avoir effectué les étapes décrites dans cet article, vous pouvez sélectionner une plateforme cible pour héberger les données exportées, puis sélectionner un outil d’ingestion pour migrer les données.
Vous pouvez exporter des données à partir de Splunk de plusieurs façons. Votre sélection d’une méthode d’exportation dépend des volumes de données impliqués et de votre niveau d’interactivité. Par exemple, l’exportation d’une seule recherche à la demande via Splunk Web peut convenir à une exportation à faible volume. Sinon, si vous souhaitez configurer une exportation planifiée à volume plus élevé, les options SDK et REST fonctionnent mieux.
Pour les exportations volumineuses, la méthode la plus stable pour la récupération des données est dump ou l’interface de ligne de commande (CLI). Vous pouvez exporter les journaux vers un dossier local sur le serveur Splunk ou vers un autre serveur accessible par Splunk.
Pour exporter vos données historiques à partir de Splunk, utilisez l’une des méthodes d’exportation Splunk. Le format de sortie doit être CSV.
Exemple d’interface CLI
Cet exemple CLI recherche les événements de l’index _internal qui se produisent pendant la fenêtre de temps spécifiée par la chaîne de recherche. L’exemple spécifie ensuite de générer les événements au format CSV dans le fichier data.csv . Vous pouvez exporter un maximum de 100 événements par défaut. Pour augmenter ce nombre, définissez l’argument -maxout . Par exemple, si vous définissez -maxout sur 0, vous pouvez exporter un nombre illimité d’événements.
Cette commande CLI exporte les données enregistrées entre 23:59 et 01:00 le 14 septembre 2021 vers un fichier CSV :
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
Exemple de vidage
Cette dump commande exporte tous les événements de l’index bigdata vers l’emplacement YYYYmmdd/HH/host sous le $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ répertoire sur un disque local. La commande utilise MyExport comme préfixe pour exporter les noms de fichiers et génère les résultats dans un fichier CSV. La commande partitionne les données exportées à l’aide de la eval fonction avant la dump commande .
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv