이 문서에서는 Splunk에서 기록 데이터를 내보내는 방법을 설명합니다. 이 문서의 단계를 완료한 후 내보낸 데이터를 호스트할 대상 플랫폼을 선택한 다음 수집 도구를 선택하여 데이터를 마이그레이션할 수 있습니다.
여러 가지 방법으로 Splunk에서 데이터를 내보낼 수 있습니다. 내보내기 방법의 선택은 관련된 데이터 볼륨과 상호 작용 수준에 따라 달라집니다. 예를 들어 Splunk Web을 통해 주문형 단일 검색을 내보내는 것이 낮은 볼륨 내보내기에 적합할 수 있습니다. 또는 더 많은 볼륨의 예약된 내보내기를 설정하려는 경우 SDK 및 REST 옵션이 가장 적합합니다.
대용량 내보내기에서 데이터 검색에 가장 안정적인 방법은 또는 CLI(명령줄 인터페이스)입니다 dump . 로그를 Splunk 서버의 로컬 폴더 또는 Splunk에서 액세스할 수 있는 다른 서버로 내보낼 수 있습니다.
Splunk에서 기록 데이터를 내보내려면 Splunk 내보내기 메서드 중 하나를 사용합니다. 출력 형식은 CSV여야 합니다.
CLI 예제
이 CLI 예제에서는 검색 문자열이 _internal 지정하는 기간 동안 발생하는 인덱스의 이벤트를 검색합니다. 그런 다음 CSV 형식의 이벤트를 data.csv 파일에 출력하도록 지정합니다. 기본적으로 최대 100개의 이벤트를 내보낼 수 있습니다. 이 숫자를 늘리려면 인수를 -maxout 설정합니다. 예를 들어 를 로 설정 -maxout0하면 무제한의 이벤트를 내보낼 수 있습니다.
이 CLI 명령은 2021년 9월 14일 23:59에서 01:00 사이에 기록된 데이터를 CSV 파일로 내보냅니다.
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
덤프 예제
이 dump 명령은 인덱스의 모든 이벤트를 bigdata 로컬 디스크의 YYYYmmdd/HH/host 디렉터리 아래 $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ 위치로 내보냅니다. 명령은 를 파일 이름 내보내기 접두사로 사용하고 MyExport 결과를 CSV 파일에 출력합니다. 명령은 명령 앞에 함수를 사용하여 eval 내보낸 데이터를 분할합니다 dump .
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv