クエリは、SplunkのDBデータ上で削除します。Splunkデータベースからクエリ結果を削除するには?
私の要件:
私は、&「日から」「これまでの」タイムスタンプに基づいて、Splunkのためのクエリを実行します。
タイムスタンプの間にすべてのイベント結果のリストを取得した後、これらのイベントのリストをSplunkデータベースから削除します。
各照会結果データは宛先データベースに格納されるため、照会した各結果データをSplunk DBから削除して、次の照会で繰り返し結果が得られないようにします。ソースSplunk DB内のストレージスペース。
それで、私はSplunk DBをクエリすることから、クエリー結果データを完全に削除する方法の効果的な解決策が必要ですか?
おかげ&よろしく、 ダーメンドラSetty
私はあなたが実際にストレージ・スペースを解放するためにそれらを削除することができますかわかりません。 hereと書かれているように、次の検索で再び結果が表示されるのを単に隠すだけです。
これを行うには、単に「delete」コマンドを検索クエリにパイプします。
ように注意してください:まず、これらは本当に削除したいのイベントであることを確認してください
例:
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S"
が検索クエリ
あるindex=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S" | delete