Splunk Search

ウォーム、コールドのデータバックアップについて

satoru0130
Engager

インデックス作成されたwarm・coldデータのバックアップを採取したいのですが、
一時的にhotdbからwarmdbへのロールを止めることは可能でしょうか?

splunk自体を停止することができない環境の為、
indexes.confでhotdb領域を増やす事は難しいと考えています。
(おそらくsplunkの再起動が必要と思うので)

また、もしロールの停止ができない際、既に生成済みのwarmdbのディレクトリをそのままコピーすると、
hotdbからのロールする動きに影響が出たり、db自体に影響が出たりするのでしょうか?

HiroshiSatoh
Champion

hotからwarmへはサイズ、もしくはSplunkの再起動のタイミングで遷移しますが、頻繁にhotからwarmへの遷移が発生していますか?通常であればコピーしている間にwarmが更新されるようなことはないと思うので遷移を止めなくても大丈夫だと思います。

>また、もしロールの停止ができない際、既に生成済みのwarmdbのディレクトリをそのままコピーすると、
>hotdbからのロールする動きに影響が出たり、db自体に影響が出たりするのでしょうか?
→これはリストアの場合ですか?コピーするだけであれば特に問題ないと思います。

0 Karma

alacercogitatus
SplunkTrust
SplunkTrust

In backing up buckets, you definately do not want to backup hot buckets. This will cause issues with your backup software, since the hot buckets are in a constant state of change. You can backup cold and warm buckets pretty easily using whatever software you choose, but do not backup hot buckets. You can backup cold/warm while Splunk is running.

バケツのバックアップでは、あなたは間違いなくバックアップホットバケットにしたくありません。ホットバケットが一定の変化状態にあるので、これは、バックアップソフトウェアで問題が発生します。バックアップ寒さと暖かいバケツかなり簡単にあなたが選択した任意のソフトウェア使用してではなく、バックアップホットバケットを行うことができます。あなたは、Splunkは、バックアップコールド/ウォームを実行していることができますが。

0 Karma
Get Updates on the Splunk Community!

Avoid Certificate Expiry Issues in Splunk Enterprise with Certificate Assist

This blog post is part 2 of 4 of a series on Splunk Assist. Click the links below to see the other ...

Using Machine Learning for Hunting Security Threats

REGISTER NOW Seeing the exponential hike in global cyber threat spectrum, organizations are now striving more ...

Security Highlights | November 2022 Newsletter

 November 2022 2022 Gartner Magic Quadrant for SIEM: Splunk Named a Leader for the 9th Year in a RowSplunk is ...