我有一个在docker上运行的splink容器,希望使用cli搜索将原始splink索引数据转换为json,并将输出保存为本地文件。如何做到这一点?
提前感谢!
CLI命令是(惊奇!(search。
splunk search "your SPL query" -maxout 0 -output json -wrap 0 > local_file
-maxout 0选项允许输出中的事件数量不受限制,但输出大小仍限制为50k。看见https://docs.splunk.com/Documentation/Splunk/9.0.1/SearchReference/CLIsearchsyntax对于所有可用选项。