Splunk - Удаление данных

Удаление данных из Splunk возможно с помощью deleteкоманда. Сначала мы создаем условие поиска, чтобы получить события, которые мы хотим пометить для удаления. Как только условие поиска будет приемлемым, мы добавляем предложение удаления в конце команды, чтобы удалить эти события из Splunk. После удаления даже пользователь с правами администратора не сможет просматривать эти данные в Splunk.

Удаление данных необратимо. Если вы по-прежнему хотите, чтобы удаленные данные вернулись в Splunk, у вас должна быть копия исходных данных, которую можно использовать для повторного индексирования данных в Splunk. Это будет процесс, аналогичный созданию нового индекса.

Назначение права на удаление

Любой пользователь, включая пользователя с правами администратора, по умолчанию не имеет доступа к удалению данных. По умолчанию только"can_delete"роль имеет возможность удалять события. Итак, мы создаем нового пользователя, назначаем эту роль и затем авторизуемся с учетными данными этого нового пользователя для выполнения операции удаления. На изображении ниже показано, как мы создаем нового пользователя с ролью can_delete. Мы попадаем на этот экран, следуя по путиSettings → Access Controls → Users → New User.

Затем мы выходим из интерфейса Splunk и снова авторизуемся с этим вновь созданным пользователем.

Определение данных для удаления

Во-первых, нам нужно определить список событий, которые мы хотим удалить. Это делается с использованием обычного поискового запроса с указанием условия фильтрации. В приведенном ниже примере мы выбираем поиск событий из хоста web_application, для которого значение поля http status равно 505. Наша цель - удалить только набор данных, содержащих эти значения, которые будут удалены из результатов поиска. На изображении ниже показан этот выбранный набор данных.

Удаление выбранных данных

Затем мы используем команду удаления, чтобы удалить выбранные выше данные из набора результатов. Он включает в себя просто добавление слова delete после '|' в конце поискового запроса, как показано ниже -

После выполнения поискового запроса выше мы можем увидеть следующий экран, где эти события были удалены.

Вы также можете дополнительно запустить поисковый запрос, чтобы убедиться, что эти события не возвращаются в наборе результатов.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved