Előzményadatok exportálása a Splunkból

Ez a cikk bemutatja, hogyan exportálhatja az előzményadatokat a Splunkból. A cikkben ismertetett lépések elvégzése után kiválaszthat egy célplatformot az exportált adatok tárolásához, majd kiválaszthat egy betöltési eszközt az adatok migrálásához.

A Splunkból több módon is exportálhat adatokat. Az exportálási módszer kiválasztása az érintett adatmennyiségtől és az interaktivitás szintjétől függ. Egy egyszerű, igény szerinti keresés Splunk Web használatával történő exportálása például megfelelő lehet egy kis mennyiségű exportáláshoz. Másik lehetőségként, ha nagyobb mennyiségű, ütemezett exportálást szeretne beállítani, az SDK és a REST beállításai működnek a legjobban.

A nagy méretű exportálások esetében az adatlekérés legstabilabb módszere dump vagy a parancssori felület (CLI). A naplókat exportálhatja a Splunk-kiszolgálón található helyi mappába vagy a Splunk által elérhető másik kiszolgálóra.

Az előzményadatok Splunkból való exportálásához használja az egyik Splunk-exportálási módszert. A kimeneti formátumnak CSV-nek kell lennie.

Példa parancssori felületre

Ez a cli-példa az index azon _internal eseményeit keresi, amelyek a keresési sztring által megadott időablakban történnek. A példa ezután megadja, hogy csv formátumban adja ki az eseményeket a data.csv fájlba. Alapértelmezés szerint legfeljebb 100 esemény exportálható. A szám növeléséhez állítsa be az argumentumot -maxout . Ha például be 0van állítva-maxout, korlátlan számú esemény exportálható.

Ez a CLI-parancs exportálja a 2021. szeptember 14-én 23:59 és 01:00 között rögzített adatokat egy CSV-fájlba:

splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv  

példa memóriaképre

Ez a dump parancs exportálja az összes eseményt az bigdata indexből a $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ YYYYmmdd/HH/host helyi lemez könyvtár alatti helyére. A parancs a fájlnevek exportálásának előtagjaként használja MyExport , és az eredményeket egy CSV-fájlba adja ki. A parancs a parancs előtti függvény használatával particionálta az eval dump exportált adatokat.

index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv 

Következő lépések

• Válasszon ki egy cél Azure-platformot az exportált előzményadatok tárolásához
• Adatbetöltési eszköz kiválasztása
• Előzményadatok betöltése a célplatformba