Splunk 删除数据
可以使用 delete 命令从 Splunk 中删除数据。我们首先创建搜索条件来获取我们想要标记为删除的事件。一旦搜索条件可接受,我们在命令末尾添加 delete 子句以从 Splunk 中删除这些事件。删除后,即使是具有管理员权限的用户也无法在 Splunk 中查看此数据。
删除数据是不可逆的。如果您仍希望将删除的数据返回到 Splunk,那么您应该随身携带原始源数据副本,该副本可用于在 Splunk 中重新索引数据。这将是一个类似于创建新索引的过程。
分配删除权限
默认情况下,包括管理员用户在内的任何用户都无权删除数据。默认情况下,只有 "can_delete" 角色可以删除事件。因此,我们创建一个新用户,分配此角色,然后使用此新用户的凭据登录以执行删除操作。下图显示了我们如何创建具有"can_delete"角色的新用户。我们按照路径 设置→访问控制→用户→新用户到达此屏幕。
然后我们退出 Splunk 界面并使用这个新创建的用户重新登录。
确定要删除的数据
首先,我们需要确定要删除的事件列表。它是使用指定过滤条件的普通搜索查询完成的。在下面的示例中,我们选择从主机 web_application 中查找 http status 字段值为 505 的事件。我们的目标是仅删除包含这些值的数据集,以便从搜索结果中删除。下图显示了这组选定的数据。
删除选中的数据
接下来,我们使用delete命令将上面选中的数据从结果集中删除。它只涉及在搜索查询末尾的"|"之后添加单词 delete,如下所示:
运行上面的搜索查询后,我们可以看到下一个屏幕,其中这些事件已被删除。
您还可以进一步运行搜索查询以验证结果集中未返回这些事件。
在 Splunk 中创建的图表具有许多功能,可根据用户需要对其进行自定义。这些自定义有助于完整显示数据或更改计算数据的间隔。在最初创建图表后,我们深入了解自定义功能。让我们考虑以下搜索查询,以获取按工作 ...