Splunk - Daten entfernen
Das Entfernen von Daten aus Splunk ist mithilfe von möglich deleteBefehl. Wir erstellen zuerst die Suchbedingung, um die Ereignisse abzurufen, die wir zum Löschen markieren möchten. Sobald die Suchbedingung akzeptabel ist, fügen wir die Löschklausel am Ende des Befehls hinzu, um diese Ereignisse aus Splunk zu entfernen. Nach dem Löschen kann nicht einmal ein Benutzer mit Administratorrechten diese Daten in Splunk anzeigen.
Das Entfernen von Daten ist irreversibel. Wenn Sie die entfernten Daten weiterhin in Splunk speichern möchten, sollten Sie die ursprüngliche Quelldatenkopie bei sich haben, mit der Sie die Daten in Splunk neu indizieren können. Dies ähnelt dem Erstellen eines neuen Index.
Zuweisen von Löschberechtigungen
Jeder Benutzer, einschließlich Administrator, hat standardmäßig keinen Zugriff zum Löschen der Daten. Standardmäßig ist nur die"can_delete"Rolle hat die Fähigkeit, Ereignisse zu löschen. Also erstellen wir einen neuen Benutzer, weisen diese Rolle zu und melden uns dann mit den Anmeldeinformationen dieses neuen Benutzers an, um den Löschvorgang auszuführen. Das folgende Bild zeigt, wie wir einen neuen Benutzer mit der Rolle "can_delete" erstellen. Wir erreichen diesen Bildschirm, indem wir dem Pfad folgenSettings → Access Controls → Users → New User.
Wir melden uns dann von der Splunk-Oberfläche ab und wieder mit diesem neu erstellten Benutzer an.
Identifizieren der zu entfernenden Daten
Zuerst müssen wir die Liste der Ereignisse identifizieren, die wir entfernen möchten. Dies erfolgt mit einer normalen Suchabfrage, die die Filterbedingung angibt. Im folgenden Beispiel suchen wir nach Ereignissen aus der Host-Webanwendung, deren Feld http-Status 505 lautet. Unser Ziel ist es, nur den Datensatz zu löschen, der diese Werte enthält, um aus dem Suchergebnis entfernt zu werden. Das folgende Bild zeigt diesen ausgewählten Datensatz.
Ausgewählte Daten löschen
Als nächstes verwenden wir den Befehl delete, um die oben ausgewählten Daten aus der Ergebnismenge zu entfernen. Es geht nur darum, das Wort "Löschen" nach "|" hinzuzufügen. am Ende der Suchabfrage wie unten gezeigt -
Nachdem Sie die Suchanfrage oben ausgeführt haben, sehen wir den nächsten Bildschirm, in dem diese Ereignisse gelöscht wurden.
Sie können die Suchabfrage auch weiter ausführen, um zu überprüfen, ob diese Ereignisse nicht in der Ergebnismenge zurückgegeben werden.