- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据导入
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查找
- Splunk - 定时任务和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 微型图表
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 删除数据
可以使用 **delete** 命令从 Splunk 中删除数据。我们首先创建搜索条件来获取要标记为删除的事件。一旦搜索条件可接受,我们在命令末尾添加 delete 子句以从 Splunk 中删除这些事件。删除后,即使是具有管理员权限的用户也无法在 Splunk 中查看此数据。
数据删除是不可逆的。如果您仍然希望将删除的数据恢复到 Splunk,则应该保留原始源数据的副本,该副本可用于将数据重新索引到 Splunk。这将类似于创建一个新的索引的过程。
分配删除权限
默认情况下,任何用户(包括管理员用户)都没有删除数据的权限。默认情况下,只有 **“can_delete”** 角色具有删除事件的能力。因此,我们创建一个新用户,分配此角色,然后使用此新用户的凭据登录以执行删除操作。下图显示了我们如何创建一个具有“can_delete”角色的新用户。我们可以通过以下路径到达此屏幕:**设置 → 访问控制 → 用户 → 新用户**。
然后,我们注销 Splunk 接口并使用此新创建的用户重新登录。
识别要删除的数据
首先,我们需要识别我们要删除的事件列表。这使用指定筛选条件的常规搜索查询来完成。在下面的示例中,我们选择查找来自主机 web_application 的事件,其字段 http 状态值为 505。我们的目标是仅删除包含这些值的数据集以从搜索结果中删除。下图显示了这组选定的数据。
删除选定的数据
接下来,我们使用 delete 命令从结果集中删除上述选定数据。这只需在搜索查询末尾的“|”之后添加单词 delete,如下所示:
运行上面的搜索查询后,我们可以看到下一个屏幕,其中这些事件已被删除。
您还可以进一步运行搜索查询以验证这些事件未返回在结果集中。
广告