Splunk 简明教程
Splunk - Removing Data
使用 delete 命令可以删除 Splunk 中的数据。我们首先创建搜索条件以获取我们要标记为要删除的事件。一旦搜索条件可以接受,我们就在命令的末尾添加删除子句以将这些事件从 Splunk 中删除。删除后,即使是具有管理员权限的用户也无法在 Splunk 中查看此数据。
删除数据是不可逆的。如果您仍然希望将已删除的数据返回 Splunk,则您应该拥有原始数据副本,可用于在 Splunk 中重新索引数据。它将与创建新索引的过程相似。
Assigning Delete Privilege
默认情况下,任何用户(包括管理员用户)都无权删除数据。默认情况下,只有 "can_delete" 角色才有删除事件的能力。因此,我们创建一个新用户,分配此角色,然后使用此新用户的凭据登录以执行删除操作。下图显示了我们如何创建具有“can_delete”角色的新用户。我们通过 Settings → Access Controls → Users → New User 路径到达此屏幕。
然后,我们退出 Splunk 界面,然后使用此新创建的用户重新登录。