Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u uw historische gegevens uit Splunk exporteert. Nadat u de stappen in dit artikel hebt voltooid, kunt u een doelplatform selecteren om de geëxporteerde gegevens te hosten en vervolgens een opnameprogramma selecteren om de gegevens te migreren.
U kunt gegevens uit Splunk op verschillende manieren exporteren. Uw selectie van een exportmethode is afhankelijk van de betrokken gegevensvolumes en uw interactiviteitsniveau. Het exporteren van één zoekopdracht op aanvraag via Splunk Web kan bijvoorbeeld geschikt zijn voor een export met een laag volume. Als u een geplande export met een hoger volume wilt instellen, werken de SDK- en REST-opties het beste.
Voor grote exports is dump de meest stabiele methode voor het ophalen van gegevens of de opdrachtregelinterface (CLI). U kunt de logboeken exporteren naar een lokale map op de Splunk-server of naar een andere server die toegankelijk is met Splunk.
Gebruik een van de Splunk-exportmethoden om uw historische gegevens uit Splunk te exporteren. De uitvoerindeling moet CSV zijn.
CLI-voorbeeld
In dit CLI-voorbeeld wordt gezocht naar gebeurtenissen uit de _internal index die plaatsvinden tijdens het tijdvenster dat door de zoektekenreeks wordt opgegeven. In het voorbeeld wordt vervolgens opgegeven dat de gebeurtenissen in een CSV-indeling moeten worden uitgevoerd naar het data.csv-bestand . U kunt standaard maximaal 100 gebeurtenissen exporteren. Als u dit aantal wilt verhogen, stelt u het -maxout argument in. Als u bijvoorbeeld instelt -maxout op 0, kunt u een onbeperkt aantal gebeurtenissen exporteren.
Met deze CLI-opdracht exporteert u gegevens die zijn vastgelegd tussen 23:59 en 01:00 uur op 14 september 2021 naar een CSV-bestand:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
dumpvoorbeeld
Met deze dump opdracht exporteert u alle gebeurtenissen van de bigdata index naar de YYYYmmdd/HH/host locatie onder de $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ map op een lokale schijf. De opdracht gebruikt MyExport als voorvoegsel voor het exporteren van bestandsnamen en voert de resultaten uit naar een CSV-bestand. De opdracht partitioneert de geëxporteerde gegevens met behulp van de eval functie vóór de dump opdracht.
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv