要件としては、あるSplunkから別のSplunkへのログデータ移行、です。
元のSplunkは止めることができません。
こちらで試した範囲では、以下の結果となっています。
・インポートはadd oneshotで行う
元となるログをエクスポートする際のファイル形式が"raw"以外
だと、うまくインポートできないため、エクスポートは"raw"で
行う必要がある。(Winodwsイベントログによる試行で確認)
・CLIで出力した場合、ログが一定量を超えると出力されなくなる
limits.confによる制限のためという情報あり。設定変更には、
Splunkの再起動が必要のため、Splunkを止められない本環境下
では、実質的に設定変更不可である。
よってCLIでのエクスポートは方法として使用できない。
・GUIで検索した結果をエクスポートする方法だと、形式にrawが
選択できない
前々項の通り、raw形式でないとインポートできないため、GUI
からのエクスポートも使用できない。
以上の問題を回避し、ログデータをエクスポート・インポートし、
移行できる方法をどなたかご教授いただけないでしょうか。
よろしくお願いいたします。
... View more