Linux環境の場合

• 保存先のファイルシステム上に、rawデータの合計サイズの1.2倍以上の十分な空き容量があることを確認します。

• 必要に応じて、インデックスデータ保存先にディレクトリを作成し、Splunkの起動ユーザーに対してアクセス権があることを確認します。

例：

mkdir /home/splunkdata
chown -R splunk:splunk /home/splunkdata
chmod +rw -R /home/splunkdata

• Splunkを停止します。

例：

/opt/splunk/bin/splunk stop

※$SPLUNK_HOMEはSplunkのインストールディレクトリです。デフォルトインストールの場合： /opt/splunk

• 2.で作成したディレクトリ配下へデータを移動します。

例：

mv /opt/splunk/var/lib/splunk/* /home/splunkdata/

• 環境変数をクリアします。

例：

unset SPLUNK_DB

• $SPLUNK_HOME\etc\splunk-launch.confを編集して新たなデータ保存先を指定します。

例：

vi /opt/splunk/etc/splunk-launch.conf

SPLUNK_DB = /home/splunkdataを追記します。

※必要に応じてsplunk-launch.confは予めバックアップを取得してください。

• Splunkを起動します。

例：

/opt/splunk/bin/splunk start>

• Webブラウザ経由でSplunkへアクセスし、作業前に取り込んだデータが検索できるとともに、新たなデータも取り込まれていることを確認します。

Windows環境の場合

• 変更したいドライブもしくはディレクトリに十分な空き容量があることを確認します。

※ネットワークドライブを保存先に使用することは、非推奨かつサポートしておりませんのでご注意ください。

• 必要に応じて、インデックスデータ保存先にディレクトリを作成し、Splunkの起動ユーザーに対してアクセス権があることを確認します。

例：

C:\Program Files\Splunk> D:D:\> mkdir \new\path\for\indexD:\> cacls D:\new\path\for\index /T /E /G :F

• Splunkを停止します。

例：

C:\"Program Files"\Splunk/bin/splunk stop

※$SPLUNK_HOMEはSplunkのインストールディレクトリです。デフォルトインストールの場合： C:\"Program Files"\Splunk

※コントロールパネルからサービスを停止することも可能です

• 2.で作成したディレクトリ配下へインデックスデータをコピーします。

例：

xcopy "C:\Program Files\Splunk\var\lib\splunk\*.*" D:\new\path\for\index /s /e /v /o /k

※$SPLUNK_HOMEはSplunkのインストールディレクトリです。デフォルトインストールの場合： C:\"Program Files"\Splunk

※コントロールパネルからサービスを停止することも可能です

• 環境変数をクリアします。

例：

set SPLUNK_DB=

• $SPLUNK_HOME\etc\splunk-launch.confを編集して新たなデータ保存先を指定します。

例：ファイル内に以下を追記します。

SPLUNK_DB=D:\new\path\for\index

※必要に応じてsplunk-launch.confは予めバックアップを取得してください。

• Splunkを起動します。

例：ファイル内に以下を追記します。

C:\"Program Files"\Splunk/bin/splunk start

• Webブラウザ経由でSplunkへアクセスし、作業前に取り込んだデータが検索できるとともに、新たなデータも取り込まれていることを確認します。