Splunk - Xóa dữ liệu
Có thể xóa dữ liệu khỏi Splunk bằng cách sử dụng deletechỉ huy. Đầu tiên, chúng tôi tạo điều kiện tìm kiếm để tìm nạp các sự kiện mà chúng tôi muốn đánh dấu để xóa. Khi điều kiện tìm kiếm được chấp nhận, chúng tôi thêm mệnh đề xóa vào cuối lệnh để xóa các sự kiện đó khỏi Splunk. Sau khi xóa, ngay cả người dùng có đặc quyền quản trị viên cũng không thể xem dữ liệu này trong Splunk.
Việc xóa dữ liệu là không thể thay đổi được. Nếu bạn vẫn muốn dữ liệu đã xóa trở lại Splunk thì bạn nên mang theo bản sao dữ liệu nguồn gốc. Bản sao này có thể được sử dụng để lập chỉ mục lại dữ liệu trong Splunk. Nó sẽ là một quá trình tương tự như tạo một chỉ mục mới.
Chỉ định Xóa đặc quyền
Bất kỳ người dùng nào bao gồm cả người dùng quản trị đều không có quyền truy cập để xóa dữ liệu theo mặc định. Theo mặc định, chỉ"can_delete"vai trò có khả năng xóa các sự kiện. Vì vậy, chúng tôi tạo người dùng mới, gán vai trò này và sau đó đăng nhập bằng thông tin đăng nhập của người dùng mới này để thực hiện thao tác xóa. Hình ảnh dưới đây cho thấy cách chúng tôi tạo người dùng mới với vai trò “can_delete”. Chúng tôi đến màn hình này bằng cách đi theo con đườngSettings → Access Controls → Users → New User.
Sau đó, chúng tôi đăng xuất khỏi giao diện Splunk và đăng nhập lại với người dùng mới được tạo này.
Xác định dữ liệu cần xóa
Đầu tiên, chúng ta cần xác định danh sách các sự kiện mà chúng ta muốn loại bỏ. Nó được thực hiện bằng cách sử dụng một truy vấn tìm kiếm thông thường xác định điều kiện bộ lọc. Trong ví dụ dưới đây, chúng tôi chọn tìm kiếm các sự kiện từ máy chủ web_application có giá trị trạng thái http trường là 505. Mục tiêu của chúng tôi là chỉ xóa tập hợp dữ liệu có chứa các giá trị này khỏi kết quả tìm kiếm. Hình ảnh dưới đây cho thấy tập hợp dữ liệu này được chọn.
Xóa dữ liệu đã chọn
Tiếp theo, chúng ta sử dụng lệnh delete để loại bỏ dữ liệu đã chọn ở trên khỏi tập kết quả. Nó chỉ liên quan đến việc thêm từ xóa sau '|' ở cuối truy vấn tìm kiếm như được hiển thị bên dưới -
Sau khi chạy truy vấn tìm kiếm ở trên, chúng ta có thể thấy màn hình tiếp theo nơi các sự kiện đó đã bị xóa.
Bạn cũng có thể chạy thêm truy vấn tìm kiếm để xác minh rằng các sự kiện này không được trả về trong tập kết quả.