我有已经转发到索引(A)的日志。我已经压缩了日志并保存了它们。我注意到索引A的保留期非常短,所以在我进行分析之前,我在Splunk中丢失了日志。我创建了一个具有更长保留期的新索引(B),并希望将旧的压缩日志转发到此新索引。我更改了配置并重新启动了splunk转发器。我没有看到解压缩的日志被转发到新索引。我错过了什么吗?是否有捷径可寻?我不介意将我的日志数据复制到新文件。我试过了,但它没有用。
答案 0 :(得分:0)
在我看来,您不需要创建新索引。
首先你需要Change a retirement and archiving policy
然后你可以Restore archived indexed data。 在这一步中,您可以要求splunk重新索引“解冻”日志并保留它所需的时间。