Удаление данных из Splunk возможно с помощью команды delete . Сначала мы создаем условие поиска для извлечения событий, которые мы хотим пометить для удаления. Как только условие поиска будет приемлемым, мы добавим предложение delete в конец команды, чтобы удалить эти события из Splunk. После удаления даже пользователь с правами администратора не может просматривать эти данные в Splunk.
Удаление данных необратимо. Если вы по-прежнему хотите, чтобы удаленные данные возвращались в Splunk, у вас должна быть оригинальная копия исходных данных, которую можно использовать для повторной индексации данных в Splunk. Это будет процесс, похожий на создание нового индекса.
Назначение привилегии удаления
Любой пользователь, включая администратора, не имеет доступа к удалению данных по умолчанию. По умолчанию только роль can_delete может удалять события. Итак, мы создаем нового пользователя, назначаем эту роль и затем выполняем вход с учетными данными этого нового пользователя, чтобы выполнить операцию удаления. На изображении ниже показано, как мы создаем нового пользователя с ролью «can_delete». Мы попадаем на этот экран, следуя пути Настройки → Контроль доступа → Пользователи → Новый пользователь .
Затем мы выходим из интерфейса Splunk и снова входим в систему с этим вновь созданным пользователем.
Определение данных для удаления
Сначала нам нужно определить список событий, которые мы хотим удалить. Это делается с помощью обычного поискового запроса, определяющего условие фильтра. В приведенном ниже примере мы выбираем поиск событий из хоста web_application, значение поля http статуса которого равно 505. Наша цель — удалить только тот набор данных, который содержит эти значения, для удаления из результата поиска. На рисунке ниже показан этот набор выбранных данных.
Удаление выбранных данных
Далее мы используем команду удаления, чтобы удалить выбранные выше данные из набора результатов. Это включает в себя просто добавление слова удаления после «|» в конце поискового запроса, как показано ниже —
После выполнения поискового запроса выше, мы можем увидеть следующий экран, где эти события были удалены.
Вы также можете дополнительно выполнить поисковый запрос, чтобы убедиться, что эти события не возвращаются в наборе результатов.