تصدير البيانات التاريخية من Splunk
توضح هذه المقالة كيفية تصدير بياناتك التاريخية من Splunk. بعد إكمال الخطوات الواردة في هذه المقالة، يمكنك تحديد نظام أساسي مستهدف لاستضافة البيانات المصدرة، ثم تحديد أداة استيعاب لترحيل البيانات.
يمكنك تصدير البيانات من Splunk بعدة طرق. يعتمد اختيارك لأسلوب التصدير على وحدات تخزين البيانات المعنية ومستوى التفاعل الخاص بك. على سبيل المثال، قد يكون تصدير بحث واحد عند الطلب عبر Splunk Web مناسباً لتصدير منخفض الحجم. بدلاً من ذلك، إذا كنت قد قمت بإعداد تصدير مجدول ذي حجم أكبر، فإن خيارات SDK وREST تعمل بشكل أفضل.
بالنسبة إلى عمليات التصدير الكبيرة، فإن الطريقة الأكثر استقراراً لاسترداد البيانات هي dump أو واجهة سطر الأوامر (CLI). يمكنك تصدير السجلات إلى مجلد محلي على خادم Splunk أو إلى خادم آخر يمكن الوصول إليه بواسطة Splunk.
لتصدير بياناتك التاريخية من Splunk، استخدم أحد أساليب تصدير Splunk. يجب أن يكون تنسيق الإخراج CSV.
مثال CLI
يبحث مثال CLI هذا عن الأحداث من الفهرس _internal التي تحدث أثناء النافذة الزمنية التي تحددها سلسلة البحث. ثم يحدد المثال إخراج الأحداث بتنسيق CSV إلى ملف data.csv وبشكل افتراضي يمكنك تصدير 100 حدث كحد أقصى. لزيادة هذا الرقم، قم بتعيين الوسيطة -maxout. على سبيل المثال، إذا قمت بتعيين -maxout إلى 0، يمكنك تصدير عدد غير محدود من الأحداث.
يصدّر أمر CLI هذا البيانات المسجلة بين 23:59 و01:00 في 14 سبتمبر 2021 إلى ملف CSV:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
مثال على تفريغ الأعطال
يصدّر الأمر dump هذا جميع الأحداث من الفهرس bigdata إلى الموقع YYYYmmdd/HH/host ضمن الدليل $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ على قرص محلي. يستخدم الأمر MyExport كبادئة لتصدير أسماء الملفات، ويخرج النتائج إلى ملف CSV. يقسم الأمر البيانات التي تم تصديرها باستخدام الدالة eval قبل الأمر dump.
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv