この記事では、Splunk から履歴データをエクスポートする方法について説明します。 この記事の手順を完了したら、エクスポートされたデータをホストする ターゲット プラットフォームを選択 し、 インジェスト ツールを選択 してデータを移行できます。
Splunk からデータをエクスポートする方法はいくつかあります。 エクスポート 方法の選択は、関係するデータ ボリュームと対話機能のレベルによって異なります。 たとえば、Splunk Web を使用した単一のオンデマンド検索のエクスポートは、少量のエクスポートに適している場合があります。 または、よりボリュームの高いスケジュールされたエクスポートを設定する場合は、SDK と REST のオプションが最適に動作します。
大規模なエクスポートの場合、データ取得の最も安定した方法は、 dump またはコマンド ライン インターフェイス (CLI) です。 ログは、Splunk サーバー上のローカル フォルダーまたは Splunk がアクセスできる別のサーバーにエクスポートできます。
Splunk から履歴データをエクスポートするには、 Splunk のエクスポート方法のいずれかを使用します。 出力形式は CSV にする必要があります。
CLI の例
次の CLI の例では、検索文字列が指定する時間枠内に発生する _internal インデックスからイベントを検索します。 次に、イベントを CSV 形式で data.csv ファイルに出力するように指定します。既定では、最大 100 個のイベントをエクスポートできます。 この数値を増やすには、 -maxout 引数を設定します。 たとえば、 -maxout を 0 に設定すると、無制限の数のイベントをエクスポートできます。
この CLI コマンドは、2021 年 9 月 14 日の 23:59 から 01:00 の間に記録されたデータを CSV ファイルにエクスポートします。
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
dump の例
このdump コマンドは、bigdata インデックスからローカル ディスク上の$SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ ディレクトリの下のYYYYmmdd/HH/hostの場所にすべてのイベントをエクスポートします。 コマンドは、エクスポート ファイル名のプレフィックスとして MyExport を使用し、結果を CSV ファイルに出力します。 コマンドは、dump コマンドの前に eval 関数を使用してエクスポートされたデータをパーティション分割します。
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv