Copiar eventos de un index a otro index

Si queremos copiar los eventos de un indice a otro, porque se mueve el contenido o bien porque se han integrado en un indice donde no tocaba. Por ejemplo, eventos de Windows que se hayan almacenado en el index main.

index=main sourcetype=WinEventLog  host="LTOP-LEGION" source="WinEventLog:Setup" | collect index=windows sourcetype=WinEventLog source="WinEventLog:Setup" host="LTOP-LEGION"

Esto copiará los eventos, no los borrará, por lo que si una vez copiados quiere borrarlos, consulte:

Borrar eventos de un index

Instalación de SC4S (docker)

Instalación de SC4S (podman)

Instalación de SC4S (ansible+podman)

Copiar eventos de un index a otro index