- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 删除数据
可以使用删除命令从 Splunk 中删除数据。我们首先创建搜索条件来获取要标记为删除的事件。一旦搜索条件可接受,我们就会在命令末尾添加删除子句,以从 Splunk 中删除这些事件。删除后,即使具有管理员权限的用户也无法在 Splunk 中查看此数据。
数据的删除是不可逆的。如果您仍然希望删除的数据返回 Splunk,那么您应该随身携带原始源数据副本,它可用于在 Splunk 中重新索引数据。这将是一个类似于创建新索引的过程。
分配删除权限
默认情况下,包括管理员用户在内的任何用户都无权删除数据。默认情况下,只有“can_delete”角色具有删除事件的能力。因此,我们创建一个新用户,分配该角色,然后使用该新用户的凭据登录以执行删除操作。下图显示了我们如何创建具有“can_delete”角色的新用户。我们通过路径Settings → Access Controls → Users → New User到达此屏幕。
然后,我们注销 Splunk 界面并使用这个新创建的用户重新登录。
识别要删除的数据
首先,我们需要确定要删除的事件列表。这是使用指定过滤条件的普通搜索查询来完成的。在下面的示例中,我们选择从主机 web_application 查找事件,该主机的 http 状态值为 505。我们的目标是仅删除包含要从搜索结果中删除的这些值的数据集。下图显示了选择的这组数据。
删除选定的数据
接下来,我们使用删除命令将上面选定的数据从结果集中删除。它只需要在“|”后面添加单词“delete” 在搜索查询的末尾,如下所示 -
运行上面的搜索查询后,我们可以看到下一个屏幕,其中这些事件已被删除。
您还可以进一步运行搜索查询以验证结果集中是否未返回这些事件。