Splunk 转移数据之collect 命令
1: 背景:
有些数据的输出结果需要很长时间,原因是查询的数据量很大,还有就是搜索的时间范围很大:一年,或者要统计过去几个月的count / 或者是比例等。
那么在这种背景下,就需要转移查询的数据结构,进行转移到另外一个index, 用另外一个新的index 进行实时展示。
下面Splunk 的一个命令: collect 就可以发威啦:
2: 先说一下,查找Splunk SPL 的一下search command 的doc :
Splunk Enterprise -> search and report -> search reference: --> search command:
collect - Splunk Documentation
2: 下面看一些例子:
Examples
1. Put "download" events into an index named "download count"
eventtypetag="download" | collect index=d