Splunk – Eliminación de datos
AREAtutorial » Big Data & Analitycs » Splunk – Eliminación de datos
Es posible eliminar datos de Splunk con Borrar mando. Primero, creamos una condición de búsqueda para obtener los eventos que queremos marcar para su eliminación. Una vez que el término de búsqueda es aceptable, agregamos una cláusula de eliminación al final del comando para eliminar estos eventos de Splunk. Una vez eliminado, incluso un usuario con privilegios de administrador no podrá ver estos datos en Splunk.
La eliminación de datos es irreversible. Si aún desea que los datos eliminados se devuelvan a Splunk, debe tener una copia de los datos originales que pueda usar para volver a indexar los datos en Splunk. Este será un proceso similar a la creación de un nuevo Ãndice.
Ningún usuario, incluido un usuario con derechos de administrador, no tiene acceso para eliminar datos de forma predeterminada. Solo por defecto «can_delete» el rol tiene la capacidad de eliminar eventos. Entonces, creamos un nuevo usuario, asignamos este rol y luego iniciamos sesión con las credenciales de este nuevo usuario para realizar la operación de eliminación. La siguiente imagen muestra cómo creamos un nuevo usuario con el rol can_delete. Llegamos a esta pantalla en el camino Configuración -> Control de acceso -> Usuarios -> Nuevo usuario…
Luego salimos de la interfaz de Splunk y volvemos a iniciar sesión con este usuario recién creado.
Primero, necesitamos definir una lista de eventos que queremos eliminar. Esto se hace mediante una consulta de búsqueda regular que especifica la condición del filtro. En el siguiente ejemplo, seleccionamos buscar eventos del host web_application, para el cual el valor del campo de estado http es 505. Nuestro objetivo es eliminar solo el conjunto de datos que contiene estos valores, que se eliminarán de los resultados de búsqueda. La siguiente imagen muestra este conjunto de datos seleccionado.
Luego usamos el comando eliminar para eliminar los datos seleccionados arriba del conjunto de resultados. Implica simplemente agregar la palabra eliminar después de ‘|’ al final de la consulta de búsqueda como se muestra a continuación:
Después de hacer la consulta de búsqueda anterior, podemos ver la siguiente pantalla donde se han eliminado estos eventos.
Opcionalmente, también puede ejecutar una consulta de búsqueda para asegurarse de que estos eventos no se devuelvan en el conjunto de resultados.
🚫