在SPLUNK中,資料按照其定義區分等級,熟悉資料庫的朋友應該知道這概念在很多地方都有,就也不多說。SPLUNK收到的資料總共分四級,熱暖冷凍(Hot / Warm / Cold / Frozen),要注意的是熱資料不能備(準確的說,是可以複製但是過程中會有問題),只有暖資料之後才能備份。
所以備份策略官方建議如下:
- 針對暖資料的增量備份(incremental backups of warm data)
- 一次性備份,適用在升級時(Backup of all data - for example, before upgrading the indexer)
一般建議是定期安排任何新增暖資料的增量備份,如果一直有在做暖資料的增量備份的話,你應該只需要當下熱資料的備份,另外,系統將暖資料移至(roll)冷資料時的名稱是不變的,方便按照名稱檢索。官方建議一次性備用資料快照的方式,工具推薦Volume Shadow Copy Service,VSS (on Windows/NTFS) 或 ZFS snapshots (on Linux../ZFS),或是手動CLI指令如下,將熱資料轉為暖資料。
splunk _internal call /data/indexes/<index_name>/roll-hot-buckets –auth <admin_username>:<admin_password>
ex: $splunk>splunk _internal call /data/indexes/main/roll-hot-bu
ckets -auth admin:changeme
ex: $splunk>splunk _internal call /data/indexes/main/roll-hot-bu
ckets -auth admin:changeme
熱資料轉完暖資料後,即可像暖資料移轉一樣,直接執行複製貼上等動作而不會有錯。想一下,splunk搜到的資料可以如一般檔案般複製貼上,那蒐集的資料備份與還原不就相當簡單了。理論上是這樣沒錯,實務上有幾個注意事項,之後再來一篇介紹。在這裡就有一個重要的步驟,若在資料還原時,有未未進行轉換的熱資料時,splunk在執行時會出錯,試試看便知道瞜。
另外,VSS啟用:以Window 2008 R2為例:
另外,VSS啟用:以Window 2008 R2為例:
- 從服務中將Volume Shadow Copy Service與相關服務啟用(RPC)
- 從Administrative Tool進Computer Management進shared folder,右鍵all task進configure shadow copies
VSS使用教學頁(VSS啟用後)
沒有留言:
張貼留言