- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料匯入
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢
- Splunk - 定時任務和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - 微型圖表
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 刪除資料
可以使用 **delete** 命令從 Splunk 中刪除資料。我們首先建立搜尋條件來獲取要標記為刪除的事件。一旦搜尋條件可接受,我們在命令末尾新增 delete 子句以從 Splunk 中刪除這些事件。刪除後,即使是具有管理員許可權的使用者也無法在 Splunk 中檢視此資料。
資料刪除是不可逆的。如果您仍然希望將刪除的資料恢復到 Splunk,則應該保留原始源資料的副本,該副本可用於將資料重新索引到 Splunk。這將類似於建立一個新的索引的過程。
分配刪除許可權
預設情況下,任何使用者(包括管理員使用者)都沒有刪除資料的許可權。預設情況下,只有 **“can_delete”** 角色具有刪除事件的能力。因此,我們建立一個新使用者,分配此角色,然後使用此新使用者的憑據登入以執行刪除操作。下圖顯示了我們如何建立一個具有“can_delete”角色的新使用者。我們可以透過以下路徑到達此螢幕:**設定 → 訪問控制 → 使用者 → 新使用者**。
然後,我們登出 Splunk 介面並使用此新建立的使用者重新登入。
識別要刪除的資料
首先,我們需要識別我們要刪除的事件列表。這使用指定篩選條件的常規搜尋查詢來完成。在下面的示例中,我們選擇查詢來自主機 web_application 的事件,其欄位 http 狀態值為 505。我們的目標是僅刪除包含這些值的資料集以從搜尋結果中刪除。下圖顯示了這組選定的資料。
刪除選定的資料
接下來,我們使用 delete 命令從結果集中刪除上述選定資料。這隻需在搜尋查詢末尾的“|”之後新增單詞 delete,如下所示:
執行上面的搜尋查詢後,我們可以看到下一個螢幕,其中這些事件已被刪除。
您還可以進一步執行搜尋查詢以驗證這些事件未返回在結果集中。
廣告