1. Ist auf dem Zielvolume genügend Platz? Bitte nur lokale Laufwerke nutzen.
2. Berechtigungen des neues Index-Verzeichnisses setzen, damit der splunkd-Prozess dort Daten schreiben kann
C:\Program Files\Splunk> D: D:\> mkdir \new\path\for\index D:\> cacls D:\new\path\for\index /T /E /G user Splunk runs as>:F
3. Index-Dienst anhalten: In %SPLUNK_HOME%\bin Verzeichnis ausführen:
splunk stop
C:\Program Files\Splunk\bin>splunk stop splunkweb: Stopped Splunkd: Stopped
4. Daten aus dem existierenden Verzeichnis in das neue kopieren:
xcopy "C:\Program Files\Splunk\var\lib\splunk\*.*" E:\splunk_index /s /e /v /o /k
5. Die SPLUNK_DB Umgebungsvariable entfernen:
set SPLUNK_DB=
6. In der %SPLUNK_HOME%\etc\splunk-launch.conf das neue Indexverzeichnis eintragen: (auskommentierte Zeile anpassen)
SPLUNK_DB=E:\splunk_index
7. Index-Dienst starten. In %SPLUNK_HOME%\bin Verzeichnis ausführen:
splunk start
C:\Program Files\Splunk\bin>splunk start Splunk> Take the sh out of IT. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking configuration... Done. Checking critical directories... Done Checking indexes... Validated: _audit _blocksignature _internal _introspection _ thefishbucket history main summary Done Checking filesystem compatibility... Done Checking conf files for problems... Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Splunkd: Starting (pid 5988) Done Starting splunkweb... splunkweb: Starting (pid 5904) Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://EFSPLUNK01B:8000
8. Wenn neue Daten in das neue Index-Verzeichnis geschrieben werden, kann das alte Index Verzeichnis entfernt werden.
del "C:\Program Files\Splunk\var\lib\splunk
Der Dienst legt das Verzeichnis neu an, es enthält jedoch nur wenige Dateien.