Splunk - Removendo Dados

Remover dados do Splunk é possível usando o deletecomando. Primeiro, criamos a condição de pesquisa para buscar os eventos que queremos marcar para exclusão. Uma vez que a condição de pesquisa é aceitável, adicionamos a cláusula delete no final do comando para remover esses eventos do Splunk. Após a exclusão, nem mesmo um usuário com privilégio de administrador é capaz de ver esses dados no Splunk.

A remoção de dados é irreversível. Se você ainda deseja os dados removidos de volta no Splunk, você deve ter a cópia dos dados de origem original com você, que pode ser usada para reindexar os dados no Splunk. Será um processo semelhante à criação de um novo índice.

Atribuindo privilégio de exclusão

Qualquer usuário, incluindo o usuário administrador, não tem acesso para excluir os dados por padrão. Por padrão, apenas o"can_delete"função tem a capacidade de excluir eventos. Assim, criamos um novo usuário, atribuímos esta função e, em seguida, logamos com as credenciais deste novo usuário para realizar a operação de exclusão. A imagem abaixo mostra como criamos um novo usuário com a função “can_delete”. Chegamos a esta tela seguindo o caminhoSettings → Access Controls → Users → New User.

Em seguida, desconectamos da interface do Splunk e retornamos com esse usuário recém-criado.

Identificar os dados a serem removidos

Primeiro, precisamos identificar a lista de eventos que queremos remover. Isso é feito usando uma consulta de pesquisa normal especificando a condição do filtro. No exemplo a seguir, escolhemos procurar os eventos do host web_application que possui o valor de status do campo http como 505. Nosso objetivo é excluir apenas o conjunto de dados contendo esses valores a serem removidos do resultado da pesquisa. A imagem abaixo mostra este conjunto de dados selecionados.

Excluindo os dados selecionados

Em seguida, usamos o comando delete para remover os dados selecionados acima do conjunto de resultados. Envolve apenas adicionar a palavra delete após '|' no final da consulta de pesquisa, conforme mostrado abaixo -

Depois de executar a consulta de pesquisa acima, podemos ver a próxima tela onde esses eventos foram excluídos.

Você também pode executar a consulta de pesquisa para verificar se esses eventos não são retornados no conjunto de resultados.