Eksportowanie danych historycznych z rozwiązania Splunk

W tym artykule opisano sposób eksportowania danych historycznych z rozwiązania Splunk. Po wykonaniu kroków opisanych w tym artykule możesz wybrać platformę docelową do hostowania wyeksportowanych danych, a następnie wybrać narzędzie pozyskiwania, aby przeprowadzić migrację danych.

Dane można wyeksportować z narzędzia Splunk na kilka sposobów. Wybór metody eksportu zależy od ilości danych i poziomu interakcyjności. Na przykład eksportowanie pojedynczego wyszukiwania na żądanie za pośrednictwem sieci Web Splunk może być odpowiednie dla eksportu o niskim woluminie. Alternatywnie, jeśli chcesz skonfigurować większy wolumin, zaplanowany eksport, zestaw SDK i opcje REST działają najlepiej.

W przypadku dużych eksportów najbardziej stabilną metodą pobierania danych jest dump lub interfejs wiersza polecenia (CLI). Dzienniki można wyeksportować do folderu lokalnego na serwerze Splunk lub na inny serwer dostępny dla rozwiązania Splunk.

Aby wyeksportować dane historyczne z rozwiązania Splunk, użyj jednej z metod eksportu Splunk. Format danych wyjściowych powinien mieć format CSV.

Przykład interfejsu wiersza polecenia

Ten przykład interfejsu wiersza polecenia wyszukuje zdarzenia z indeksu _internal występującego w przedziale czasu, który określa ciąg wyszukiwania. Następnie przykład określa dane wyjściowe zdarzeń w formacie CSV do pliku data.csv . Domyślnie można wyeksportować maksymalnie 100 zdarzeń. Aby zwiększyć tę liczbę, ustaw -maxout argument . Jeśli na przykład ustawiono wartość -maxout 0, możesz wyeksportować nieograniczoną liczbę zdarzeń.

To polecenie interfejsu wiersza polecenia eksportuje dane zarejestrowane między 23:59 a 01:00 14 września 2021 r. do pliku CSV:

splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv  

przykład zrzutu

To dump polecenie eksportuje wszystkie zdarzenia z indeksu bigdata do YYYYmmdd/HH/host lokalizacji w $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ katalogu na dysku lokalnym. Polecenie używa MyExport jako prefiksu dla plików eksportu i zwraca wyniki do pliku CSV. Polecenie partycjonuje wyeksportowane dane przy użyciu eval funkcji przed poleceniem dump .

index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv 

Następne kroki

• Wybieranie docelowej platformy Azure do hostowania wyeksportowanych danych historycznych
• Wybieranie narzędzia do pozyskiwania danych
• Pozyskiwanie danych historycznych na platformę docelową