Splunk - Eliminación de datos

Es posible eliminar datos de Splunk utilizando el deletemando. Primero creamos la condición de búsqueda para recuperar los eventos que queremos marcar para eliminar. Una vez que la condición de búsqueda es aceptable, agregamos la cláusula de eliminación al final del comando para eliminar esos eventos de Splunk. Después de la eliminación, ni siquiera un usuario con privilegios de administrador puede ver estos datos en Splunk.

La eliminación de datos es irreversible. Si aún desea que los datos eliminados regresen a Splunk, entonces debe tener la copia de datos de origen original con usted, que se puede usar para volver a indexar los datos en Splunk. Será un proceso similar a la creación de un nuevo índice.

Asignar privilegios de eliminación

Cualquier usuario, incluido el usuario administrador, no tiene acceso para eliminar los datos de forma predeterminada. Por defecto, solo el"can_delete"rol tiene la capacidad de eliminar eventos. Entonces, creamos un nuevo usuario, asignamos este rol y luego iniciamos sesión con las credenciales de este nuevo usuario para realizar la operación de eliminación. La siguiente imagen muestra cómo creamos un nuevo usuario con el rol "can_delete". Llegamos a esta pantalla siguiendo el caminoSettings → Access Controls → Users → New User.

Luego salimos de la interfaz de Splunk y volvemos a iniciar sesión con este usuario recién creado.

Identificar los datos que se eliminarán

Primero, necesitamos identificar la lista de eventos que queremos eliminar. Se realiza mediante una consulta de búsqueda normal que especifica la condición del filtro. En el siguiente ejemplo, elegimos buscar los eventos del host web_application que tiene el valor de estado del campo http como 505. Nuestro objetivo es eliminar solo el conjunto de datos que contienen estos valores para eliminarlos del resultado de la búsqueda. La siguiente imagen muestra este conjunto de datos seleccionados.

Eliminar los datos seleccionados

A continuación, usamos el comando eliminar para eliminar los datos seleccionados anteriormente del conjunto de resultados. Implica simplemente agregar la palabra eliminar después de '|' al final de la consulta de búsqueda como se muestra a continuación:

Después de ejecutar la consulta de búsqueda anterior, podemos ver la siguiente pantalla donde se eliminaron esos eventos.

También puede ejecutar la consulta de búsqueda para verificar que estos eventos no se devuelvan en el conjunto de resultados.