Splunk 简明教程

Splunk - Removing Data

使用 delete 命令可以删除 Splunk 中的数据。我们首先创建搜索条件以获取我们要标记为要删除的事件。一旦搜索条件可以接受,我们就在命令的末尾添加删除子句以将这些事件从 Splunk 中删除。删除后,即使是具有管理员权限的用户也无法在 Splunk 中查看此数据。

删除数据是不可逆的。如果您仍然希望将已删除的数据返回 Splunk,则您应该拥有原始数据副本,可用于在 Splunk 中重新索引数据。它将与创建新索引的过程相似。

Assigning Delete Privilege

默认情况下,任何用户(包括管理员用户)都无权删除数据。默认情况下,只有 "can_delete" 角色才有删除事件的能力。因此,我们创建一个新用户,分配此角色,然后使用此新用户的凭据登录以执行删除操作。下图显示了我们如何创建具有“can_delete”角色的新用户。我们通过 Settings → Access Controls → Users → New User 路径到达此屏幕。

remove data 0

然后,我们退出 Splunk 界面,然后使用此新创建的用户重新登录。

Identifying the data to be removed

首先,我们需要识别我们想要删除的事件列表。这是使用指定筛选条件的普通搜索查询完成的。在下面的示例中,我们选择查看具有字段 http 状态值 505 的主机 web_application 的事件。我们的目标是仅删除包含这些值以从搜索结果中删除的数据集。下图显示了选定的数据集。

remove data 1

Deleting the Selected Data

接下来,我们使用删除命令从结果集中删除上述选定的数据。它只需在搜索查询的末尾添加单词 delete,如下所示:

remove data 2

运行上述搜索查询后,我们可以看到删除了这些事件的下一个屏幕。

remove data 3

您还可以进一步运行搜索查询以验证这些事件未返回到结果集中。