Splunk清除資料方法Clear Data in Splunk
在splunk中清除某種資料的單純作法是利用delete語法,只要在splunk search中pipe後接delete即可,如下:
source="/fflanda/incoming/cheese.log" | delete
在搜尋時就會看不到這些了,這樣下 index=<index.name>還是會有紀錄,加上index進行delete會更完整
index=name_summary source=Name|delete
但其實這只是做刪除標記,並非真正清除,真正清除資料除了直接將db資料夾下的檔案刪去外,可參考以下做法,以window為例,在cmd中
splunk clean eventdata -index <index_name>
兩點注意
- clean eventdata前要先將splunk停止唷
- delete預設是沒有權限可以執行的,需要調整權限後delete才會運作
在splunk中清除某種資料的單純作法是利用delete語法,只要在splunk search中pipe後接delete即可,如下:
沒有留言:
張貼留言