Splunkからデータを削除するには、Indexごと削除する必要があります。
Deleteコマンドというものもありますが、Deleteコマンドでは検索結果からはデータは見えなくなるものの、データ自体はSplunk上に残ってしまいます。
参考:[Splunk Answer]Indexされている任意のイベントを削除したい
Splunkを試しに使ってみよう、試しにデータを食わせてみよう、と言う人がやりがちなのが、デフォルトのIndexにそのままデータをぶち込むこと。
これをしてしまうと、あとからデータを削除できなくて不便します。
どうでもいいデータならいいですが、顧客情報や社外秘情報が含まれるようなデータだと困ったことになります。
データ取り込みの際にはIndexを選択する項目が出てきますから、そこで新しいIndexを作って、作ったIndexに入れるようにしましょう。
そうすれば、お試し後にそのIndexのデータを削除できます。
スポンサーリンク
スポンサーリンク
