Splunk資料備份還原與注意事項 Splunk and restore with considerations

之前在Splunk 備份方法與注意事項 Splunk Backup Method and Considerations的時候說過了，Splunk的資料在備份的時候主要是備分暖資料，暖資料如下圖中db開頭的資料夾。這次要來跟大家補充Splunk index的備分跟還原。
Splunk index的備分跟還原。
Splunk index的備分跟還原。
很重要所以要說三次。




裡面就是存了這個東西，圖中看到的tsidx( time-series index file)檔案，就是Splunk自己特製的資料格式而那些原始資料就是存在rawdata資料夾中，當然格式也是轉換無法直接讀取，除了複製貼上外，還有一個關鍵點，是權限的設定，要把複製的檔案權限調到適當的設定，後續才不會出錯唷。以上補充上一篇講的資料備份，簡單講就是暖資料權限調整後的複製貼上。

接下來要講的就是還原的部分，當我們要把資料在別台主機中還原時，記住該台主機需要有原來一樣名字的index，建立好之後，就可以把資料複製移動到該index的路徑了，就是$Splunk\var\lib\splunk\<index.name>\db下面，這時要把目標主機的Splunk停止，移動完後另一個重要步驟來了。要將資料夾更名，因為檔案本身有Hash值的設定，確切如何運作我搞清楚了會再跟大家介紹，基本上簡單的作法就是將檔名更改就好了，這也是官方建議做法，建議更動後面的數字即可，後面加幾個數字就可以了，不要加太小的數字可以加個20.50，具體可以參考下圖。

資料少的時候可以手動處理，資料一多當然就要利用工具處理了。都做完了以後，就可以把Splunk啟動了。注意，在做還原的時候，目標主機都要是停止狀態唷。啟動完後重新下一次搜尋命令Index=<your.index>時，就能搜到原本的資料了，否則的話就是哪邊有問題，將變動的地方刪掉重做會比較快。