Splunk - Rimozione dei dati
La rimozione dei dati da Splunk è possibile utilizzando il file deletecomando. Per prima cosa creiamo la condizione di ricerca per recuperare gli eventi che vogliamo contrassegnare per l'eliminazione. Una volta che la condizione di ricerca è accettabile, aggiungiamo la clausola di cancellazione alla fine del comando per rimuovere quegli eventi da Splunk. Dopo l'eliminazione, nemmeno un utente con privilegi di amministratore è in grado di visualizzare questi dati in Splunk.
La rimozione dei dati è irreversibile. Se vuoi ancora che i dati rimossi tornino in Splunk, dovresti avere con te la copia dei dati di origine originale che può essere utilizzata per reindicizzare i dati in Splunk. Sarà un processo simile alla creazione di un nuovo indice.
Assegnazione del privilegio di eliminazione
Qualsiasi utente, incluso l'utente amministratore, non ha accesso per eliminare i dati per impostazione predefinita. Per impostazione predefinita, solo il file"can_delete"ha la capacità di eliminare gli eventi. Quindi, creiamo un nuovo utente, assegniamo questo ruolo e quindi accediamo con le credenziali di questo nuovo utente per eseguire l'operazione di cancellazione. L'immagine sotto mostra come creiamo un nuovo utente con il ruolo "can_delete". Arriviamo a questa schermata seguendo il percorsoSettings → Access Controls → Users → New User.
Quindi disconnettiamo l'interfaccia di Splunk e riconnettiamo con questo utente appena creato.
Identificazione dei dati da rimuovere
Innanzitutto, dobbiamo identificare l'elenco di eventi che vogliamo rimuovere. Viene eseguito utilizzando una normale query di ricerca che specifica la condizione del filtro. Nell'esempio seguente, scegliamo di cercare gli eventi dall'host web_application che ha il valore di stato del campo http come 505. Il nostro obiettivo è eliminare solo il set di dati contenente questi valori da rimuovere dal risultato della ricerca. L'immagine sotto mostra questo set di dati selezionato.
Eliminazione dei dati selezionati
Successivamente, utilizziamo il comando di eliminazione per rimuovere i dati selezionati sopra dal set di risultati. Implica semplicemente l'aggiunta della parola cancella dopo "|" alla fine della query di ricerca come mostrato di seguito -
Dopo aver eseguito la query di ricerca sopra, possiamo vedere la schermata successiva in cui quegli eventi sono stati eliminati.
È inoltre possibile eseguire ulteriormente la query di ricerca per verificare che questi eventi non vengano restituiti nel set di risultati.