Splunkのデータはインディックス毎にフォルダが作成されているのでフォルダ毎コピーすればよいです。
ただし、ホットバケツ状態のデータはコピーできませんので、コピー先で削除する必要があります。
インディックスフォルダ:splunk/var/lib/splunk
削除するホットバケツのフォルダ:hot_v*のフォルダ
※.bucketManifestからも削除したフォルダと同じPATHの行を削除
ホットバケツをウォームバケツに移行させるには、Splunkを停止させるか、CLIコマンドを実行します。ただし、Splunkが実行状態の場合は常にホットバケツが作成される可能性があるので作成されてしまった場合は削除が必要です。詳しくはマニュアルを参照して下さい。
マニュアル:インデクサーおよびインデクサーのクラスタの管理
