Splunkについて

Splunkに取り込んだデータを削除するにはIndexごと削除する必要がある

Splunkからデータを削除するには、Indexごと削除する必要があります。
Deleteコマンドというものもありますが、Deleteコマンドでは検索結果からはデータは見えなくなるものの、データ自体はSplunk上に残ってしまいます。

参考:[Splunk Answer]Indexされている任意のイベントを削除したい

Splunkを試しに使ってみよう、試しにデータを食わせてみよう、と言う人がやりがちなのが、デフォルトのIndexにそのままデータをぶち込むこと。
これをしてしまうと、あとからデータを削除できなくて不便します。
どうでもいいデータならいいですが、顧客情報や社外秘情報が含まれるようなデータだと困ったことになります。

データ取り込みの際にはIndexを選択する項目が出てきますから、そこで新しいIndexを作って、作ったIndexに入れるようにしましょう。
そうすれば、お試し後にそのIndexのデータを削除できます。

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です