重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
本文介绍如何从 Splunk 导出历史数据。 完成本文中的步骤后,可以选择引入工具来迁移数据。
可以通过多种方式从 Splunk 导出数据。 选择导出方法取决于所涉及的数据卷和交互级别。 例如,通过 Splunk Web 导出单个按需搜索可能适用于低容量导出。 或者,如果要设置更高的卷、计划的导出,SDK 和 REST 选项效果最佳。
对于大型导出,用于数据检索 dump 的最稳定方法是或命令行接口(CLI)。 可以将日志导出到 Splunk 服务器上的本地文件夹或 Splunk 可访问的另一台服务器。
若要从 Splunk 导出历史数据,请使用 Splunk 导出方法之一。 输出格式应为 CSV。
CLI 示例
此 CLI 示例在搜索字符串指定的时间范围内搜索索引中发生的事件 _internal 。 然后,该示例指定将 CSV 格式的事件输出到 data.csv 文件。默认情况下,最多可以导出 100 个事件。 若要增加此数字,请设置 -maxout 参数。 例如,如果设置为-maxout0,则可以导出无限数量的事件。
此 CLI 命令会将 2021 年 9 月 14 日 23:59 到 01:00 之间的数据导出到 CSV 文件:
splunk search "index=_internal earliest=09/14/2021:23:59:00 latest=09/16/2021:01:00:00 " -output csv > c:/data.csv
转储示例
此命令 dump 将所有事件从 bigdata 索引导出到 YYYYmmdd/HH/host 本地磁盘上目录下 $SPLUNK_HOME/var/run/splunk/dispatch/<sid>/dump/ 的位置。 该命令用作 MyExport 导出文件名的前缀,并将结果输出到 CSV 文件。 该命令在命令之前使用 eval 函数对导出的数据进行 dump 分区。
index=bigdata | eval _dstpath=strftime(_time, "%Y%m%d/%H") + "/" + host | dump basefilename=MyExport format=csv