Splunk 之 filed 恢复
1: 背景:
我们在工作过程中,或者是和很多team 进行交互的时候,总会有 filed 共用的情况,还有就是filed 会被相同权限的同事删除等等,这种情况下,就要求做好 /opt/splunk/etc/apps 的备份工作。
如果知道原来是在哪个app 下的fileds, 还好,就怕不知道在哪里。
同样的道理,还有些macros, fileds, alert, report 啥的,都体现的备份的重要性。
2: 解决思路:
如果有备份文件,先去/opt/splunk/etc/apps/XXX/ 下面的local 下面,去: props.conf ,通常 这个是和filed 有关的,当然还有其它的文件,例如: macros.conf, savedsearches.conf 等是放report / alert 的。
可以先把这些文件放到自己的测试环境中,看看效果。
假如: props.conf 文件,你看到的是:
[a:b]
EXTRACT-abc_123 = ^[^\.\n]*\.\d+\s+\w+\s+(?P<hello_shanghai>[^#]+)
那么就可以去下面的界面:
下面的app name是: kunshan
下面是个例子:
当然,还有macros 也可以试试,把macros.conf 放到:/ opt/splunk/etc/apps/xxxx/local/macros.conf.
然后重启splunk ,界面上就可看到了。