从 Splunk 导出历史数据

本文介绍如何从 Splunk 导出历史数据。 完成本文中的步骤后，可以选择 一个目标平台 来托管导出的数据，然后选择用于迁移数据的 引入工具 。

可以通过多种方式从 Splunk 导出数据。 选择导出方法取决于所涉及的数据量和交互性级别。 例如，通过 Splunk Web 导出单个按需搜索可能适用于小批量导出。 或者，如果要设置更大容量的计划导出，SDK 和 REST 选项效果最佳。

对于大型导出，最稳定的数据检索 dump 方法是命令行接口 (CLI) 。 可以将日志导出到 Splunk 服务器上的本地文件夹或 Splunk 可访问的其他服务器。

若要从 Splunk 导出历史数据，请使用 Splunk 导出方法之一。 输出格式应为 CSV。

CLI 示例

此 CLI 示例从索引中 _internal 搜索在搜索字符串指定的时间范围内发生的事件。 然后，该示例指定将 CSV 格式的事件输出到 data.csv 文件。默认情况下，最多可以导出 100 个事件。 若要增加此数字，请 -maxout 设置 参数。 例如，如果设置为 -maxout0，则可以导出无限数量的事件。

此 CLI 命令将 2021 年 9 月 14 日 23：59 到 01：00 之间记录的数据导出到 CSV 文件：

splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv  

转储示例

此命令 dump 将所有事件从 bigdata 索引导出到 YYYYmmdd/HH/host 本地磁盘上的 $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ 目录下的位置。 命令使用 MyExport 作为导出文件名的前缀，并将结果输出到 CSV 文件。 命令在 命令之前dump使用 函数对导出的数据进行eval分区。

index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv 

后续步骤

• 选择目标Azure平台来托管导出的历史数据
• 选择数据引入工具
• 将历史数据引入目标平台