Splunk의 sourcetype 변경

다시 인덱싱을 하지 않는 한 저장된 인덱스의 소스타입은 바꿀 수 없다.

이때 collect란 명령어를 사용해볼 수 있다. mysql의 create target_table select * from source_table과 유사. 인덱스는 당연히 미리 만들어 놔야 한다.

검색 결과를 특정 경로에 임시 파일로 저장한 후, 새로운 인덱스에 저장해줌.  

소스타입 변경도 가능.

가공 결과를 별도 저장하고 싶을 때 유용할 듯.