Splunk - Verileri Kaldırma

Splunk'tan verilerin kaldırılması, deletekomut. Önce silmek üzere işaretlemek istediğimiz olayları getirmek için arama koşulunu oluştururuz. Arama koşulu kabul edilebilir hale geldiğinde, bu olayları Splunk'tan kaldırmak için komutun sonuna silme cümlesi ekliyoruz. Silme işleminden sonra, yönetici ayrıcalığına sahip bir kullanıcı bile bu verileri Splunk'ta görüntüleyemez.

Verilerin kaldırılması geri alınamaz. Kaldırılan verilerin hala Splunk'a geri alınmasını istiyorsanız, o zaman Splunk'taki verileri yeniden indekslemek için kullanılabilecek orijinal kaynak veri kopyasını yanınızda bulundurmalısınız. Yeni bir dizin oluşturmaya benzer bir süreç olacak.

Ayrıcalık Silme Atama

Yönetici kullanıcı dahil herhangi bir kullanıcının varsayılan olarak verileri silme erişimi yoktur. Varsayılan olarak, yalnızca"can_delete"rol, olayları silme yeteneğine sahiptir. Bu nedenle, yeni bir kullanıcı oluşturuyoruz, bu rolü atıyoruz ve ardından silme işlemini gerçekleştirmek için bu yeni kullanıcının kimlik bilgileri ile oturum açıyoruz. Aşağıdaki resim "can_delete" rolüne sahip yeni bir kullanıcıyı nasıl oluşturduğumuzu göstermektedir. Yolu takip ederek bu ekrana ulaşıyoruzSettings → Access Controls → Users → New User.

Daha sonra Splunk arayüzünden çıkıyoruz ve bu yeni oluşturulan kullanıcıyla tekrar giriş yapıyoruz.

Kaldırılacak verilerin belirlenmesi

Öncelikle, kaldırmak istediğimiz olayların listesini belirlememiz gerekir. Filtre koşulunu belirten normal bir arama sorgusu kullanılarak yapılır. Aşağıdaki örnekte, alan http durum değeri 505 olan web_application ana bilgisayarından olayları aramayı seçiyoruz. Amacımız, yalnızca bu değerleri içeren veri kümesini arama sonucundan kaldırılmak üzere silmektir. Aşağıdaki resim, seçilen bu veri setini göstermektedir.

Seçilen Verilerin Silinmesi

Ardından, yukarıda seçilen verileri sonuç kümesinden kaldırmak için silme komutunu kullanıyoruz. Sadece '|' den sonra sil kelimesini eklemeyi içerir. aşağıda gösterildiği gibi arama sorgusunun sonunda -

Yukarıdaki arama sorgusunu çalıştırdıktan sonra, bu olayların silindiği bir sonraki ekranı görebiliriz.

Ayrıca, bu olayların sonuç kümesinde döndürülmediğini doğrulamak için arama sorgusunu daha da çalıştırabilirsiniz.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved