过程主要分为两步:
1、移动归档存储器archived bucket到你的解冻目录下(例如:$SPLUNK_HOME/var/lib/splunk/defaultdb/thaweddb)。
2、处理archived bucket ,过程将在下面描述。
note:需要注意的是splunk4.2及其以前的版本和4.2以后的版本由于元数据的格式不同,相应的处理方式也不同。
恢复归档文件到到不同splunk 的限制条件:
1、splunk的版本:来源于splunk 4.2+的归档存储器只能恢复到4.2+的splunk上。4.2以前的版本可以恢复到任何splunk上(忽略系统版本)
2、系统版本:splunk 4.2+的归档存储器可以恢复到任何系统的splunk上,4.2以前的版本只能恢复到和原来系统一致的splunk上。
note:确保你bucket ID和index没有冲突。
区分你的archived bucket是否包含splunk 4.2+的数据:
1、4.2+ bucket,bucket目录只包含元数据目录,并且这个目录存放journal.gz。
2、pre-4.2 bucket,bucket目录包含.tsidx和.data文件的压缩版本,元数据的目录中包含int.gz文件。
note:如果使用自己的脚本对数据进行归档,bucket中可能的包含任何文件。
解冻一个4.2+版本的归档文件:
1、把archived bucket文件复制到解冻目录,例如:
# cp -r db_1181756465_1162600547_0 $SPLUNK_HOME/var/lib/splunk/defaultdb/thaweddb/temp_db_1181756465_1162600547_0
2、使用rebuild命令重建index及相关文件,如:
# splunk rebuild $SPLUNK_HOME/var/lib/splunk/defaultdb/thaweddb/temp_db_1181756465_1162600547_0
3、冲命名bucket,例如:
# cd $SPLUNK_HOME/var/lib/splunk/defaultdb/thaweddb/
# mv temp_db_1181756465_1162600547_0 db_1181756465_1162600547_1001
4、重启splunk
扫一扫
291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
