Exportieren von Verlaufsdaten aus Splunk

In diesem Artikel wird beschrieben, wie Sie Ihre Verlaufsdaten aus Splunk exportieren. Nachdem Sie die Schritte in diesem Artikel ausgeführt haben, können Sie eine Zielplattform zum Hosten der exportierten Daten auswählen und dann ein Datenerfassungstool auswählen, um die Daten zu migrieren.

Diagram illustrating steps involved in export and ingestion.

Sie können Daten aus Splunk auf verschiedene Arten exportieren. Ihre Wahl der Exportmethode hängt vom jeweiligen Datenvolumen und vom Grad der Interaktivität ab. Das Exportieren einer einzelnen bedarfsgesteuerten Suche über Splunk Web kann beispielsweise für einen Export mit geringem Volumen geeignet sein. Wenn Sie alternativ einen geplanten Export mit größerem Volumen einrichten möchten, sind die SDK- und REST-Optionen am besten geeignet.

Bei großen Exporten ist dump oder die Befehlszeilenschnittstelle (Command Line Interface, CLI) die stabilste Methode für den Datenabruf. Sie können die Protokolle in einen lokalen Ordner auf dem Splunk-Server oder auf einen anderen Server exportieren, auf den Splunk zugreifen kann.

Verwenden Sie zum Exportieren Ihrer Verlaufsdaten aus Splunk eine der Splunk-Exportmethoden. Das Ausgabeformat sollte CSV sein.

CLI-Beispiel

In diesem CLI-Beispiel wird nach Ereignissen aus dem Index _internal gesucht, die in dem in der Suchzeichenfolge angegebenen Zeitfenster auftreten. Im Beispiel wird dann angegeben, dass die Ereignisse im CSV-Format in die Datei data.csv ausgegeben werden. Sie können standardmäßig maximal 100 Ereignisse exportieren. Um diese Anzahl zu erhöhen, legen Sie das Argument -maxout fest. Wenn Sie beispielsweise -maxout auf 0 festlegen, können Sie eine unbegrenzte Anzahl von Ereignissen exportieren.

Mit dem folgenden CLI-Befehl werden Daten, die zwischen 23:59 und 01:00 Uhr am 14. September 2021 aufgezeichnet wurden, in eine CSV-Datei exportiert:

splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv  

Dump-Beispiel

Mit dem folgenden dump-Befehl werden alle Ereignisse aus dem Index bigdata in den Speicherort YYYYmmdd/HH/host unter dem Verzeichnis $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ auf einem lokalen Datenträger exportiert. Der Befehl verwendet MyExport als Präfix für Exportdateinamen und gibt die Ergebnisse in eine CSV-Datei aus. Der Befehl partitioniert die exportierten Daten mithilfe der eval-Funktion vor dem dump-Befehl.

index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv 

Nächste Schritte