Splunk-データの削除

Splunkからデータを削除するには、 deleteコマンド。まず、削除のマークを付けるイベントをフェッチするための検索条件を作成します。検索条件が受け入れられたら、コマンドの最後にdelete句を追加して、これらのイベントをSplunkから削除します。削除後、管理者権限を持つユーザーでさえ、Splunkでこのデータを表示することはできません。

データの削除は元に戻せません。削除したデータをSplunkに戻したい場合は、元のソースデータのコピーを用意しておく必要があります。これを使用して、Splunkのデータのインデックスを再作成できます。これは、新しいインデックスの作成と同様のプロセスになります。

削除権限の割り当て

adminユーザーを含むすべてのユーザーは、デフォルトでデータを削除するためのアクセス権を持っていません。デフォルトでは、"can_delete"ロールには、イベントを削除する機能があります。そのため、新しいユーザーを作成し、この役割を割り当ててから、この新しいユーザーの資格情報を使用してログインし、削除操作を実行します。次の画像は、「can_delete」ロールを持つ新しいユーザーを作成する方法を示しています。パスをたどってこの画面に到達しますSettings → Access Controls → Users → New User

次に、Splunkインターフェースからログアウトし、この新しく作成されたユーザーで再度ログインします。

削除するデータの特定

まず、削除するイベントのリストを特定する必要があります。これは、フィルター条件を指定する通常の検索クエリを使用して実行されます。以下の例では、フィールドhttpステータス値が505であるホストweb_applicationからイベントを検索することを選択します。目標は、これらの値を含むデータのセットのみを削除して、検索結果から削除することです。次の画像は、選択されたこのデータセットを示しています。

選択したデータの削除

次に、deleteコマンドを使用して、上記で選択したデータを結果セットから削除します。'|'の後にdeleteという単語を追加するだけです。以下に示すように、検索クエリの最後に-

上記の検索クエリを実行すると、これらのイベントが削除された次の画面が表示されます。

さらに検索クエリを実行して、これらのイベントが結果セットに返されないことを確認することもできます。