使用delete命令可以从Splunk中删除数据。我们首先创建搜索条件以获取要标记为删除的事件。一旦搜索条件可接受，我们将在命令末尾添加delete子句，以从Splunk中删除这些事件。删除后，甚至没有管理员权限的用户也无法在Splunk中查看此数据。

数据删除是不可逆的。如果您仍然希望将删除的数据返回到Splunk中，则应该随身携带原始源数据副本，该副本可用于为Splunk中的数据重新编制索引。这将类似于创建新索引的过程。

分配删除权限

默认情况下，包括管理员用户在内的任何用户都无权删除数据。默认情况下，只有“ can_delete”角色才能删除事件。因此，我们创建一个新用户，分配该角色，然后使用该新用户的凭据登录以执行删除操作。下图显示了我们如何创建具有“ can_delete”角色的新用户。通过遵循路径设置→访问控制→用户→新用户进入此屏幕。

然后，我们退出Splunk界面，并使用该新创建的用户重新登录。

识别要删除的数据

首先，我们需要确定要删除的事件的列表。使用指定过滤条件的普通搜索查询即可完成。在下面的示例中，我们选择从主机web_application中查找事件，该主机的http状态值为505。我们的目标是仅删除包含这些值的数据集，以将其从搜索结果中删除。下图显示了选中的这组数据。

删除所选数据

接下来，我们使用delete命令从结果集中删除以上选择的数据。它只需要在’|’之后添加删除一词在搜索查询的末尾，如下所示-

运行完上面的搜索查询后，我们可以看到下一个删除了这些事件的屏幕。

您还可以进一步运行搜索查询以验证结果集中未返回这些事件。