📅  最后修改于: 2020-11-29 08:15:08             🧑  作者: Mango
使用delete命令可以从Splunk中删除数据。我们首先创建搜索条件以获取要标记为删除的事件。一旦搜索条件可接受,我们将在命令末尾添加delete子句,以从Splunk中删除这些事件。删除后,甚至没有管理员权限的用户也无法在Splunk中查看此数据。
数据删除是不可逆的。如果您仍然希望将删除的数据返回到Splunk中,则应该随身携带原始源数据副本,该副本可用于为Splunk中的数据重新编制索引。这将类似于创建新索引的过程。
默认情况下,包括管理员用户在内的任何用户都无权删除数据。默认情况下,只有“ can_delete”角色才能删除事件。因此,我们创建一个新用户,分配该角色,然后使用该新用户的凭据登录以执行删除操作。下图显示了我们如何创建具有“ can_delete”角色的新用户。通过遵循路径设置→访问控制→用户→新用户进入此屏幕。
然后,我们退出Splunk界面,并使用该新创建的用户重新登录。
首先,我们需要确定要删除的事件的列表。使用指定过滤条件的普通搜索查询即可完成。在下面的示例中,我们选择从主机web_application中查找事件,该主机的http状态值为505。我们的目标是仅删除包含这些值的数据集,以将其从搜索结果中删除。下图显示了选中的这组数据。
接下来,我们使用delete命令从结果集中删除以上选择的数据。它只需要在’|’之后添加删除一词在搜索查询的末尾,如下所示-
运行完上面的搜索查询后,我们可以看到下一个删除了这些事件的屏幕。
您还可以进一步运行搜索查询以验证结果集中未返回这些事件。