Splunk-データの削除

*delete* コマンドを使用すると、Splunkからデータを削除できます。 最初に、検索条件を作成して、削除のマークを付けるイベントをフェッチします。 検索条件が受け入れ可能になると、コマンドの最後にdelete句を追加して、Splunkからそれらのイベントを削除します。 削除後、管理者権限を持つユーザーでさえ、Splunkでこのデータを表示できません。

データの削除は元に戻せません。 削除されたデータをSplunkに戻したい場合は、Splunkのデータのインデックスを再作成するために使用できる元のソースデータのコピーが必要です。 これは、新しいインデックスの作成に似たプロセスになります。

削除特権の割り当て

adminユーザーを含むユーザーには、デフォルトでデータを削除するアクセス権がありません。 デフォルトでは、 "can_delete" ロールのみがイベントを削除できます。 そのため、新しいユーザーを作成し、このロールを割り当ててから、この新しいユーザーの資格情報でログインして削除操作を実行します。 以下の画像は、「can_delete」ロールを持つ新しいユーザーを作成する方法を示しています。 この画面に到達するには、*設定→アクセス制御→ユーザー→新規ユーザー*のパスに従います。

データ0を削除

次に、Splunkインターフェースからログアウトし、この新しく作成したユーザーで再度ログインします。

削除するデータの特定

まず、削除するイベントのリストを識別する必要があります。 これは、フィルター条件を指定する通常の検索クエリを使用して行われます。 以下の例では、フィールドhttp statusの値が505であるホストweb_applicationからイベントを探すことを選択します。 私たちの目標は、これらの値を含むデータのセットのみを削除して、検索結果から削除することです。 以下の画像は、選択されたこのデータセットを示しています。

データ1を削除

選択したデータを削除する

次に、deleteコマンドを使用して、上記で選択したデータを結果セットから削除します。 以下に示すように、検索クエリの最後に「|」の後に単語deleteを追加するだけです。

データ2を削除

上記の検索クエリを実行すると、これらのイベントが削除された次の画面が表示されます。

データ3を削除

検索クエリをさらに実行して、これらのイベントが結果セットに返されないことを確認することもできます。