Splunk - Suppression de données

La suppression des données de Splunk est possible en utilisant le deletecommander. Nous créons d'abord la condition de recherche pour récupérer les événements que nous voulons marquer pour suppression. Une fois que la condition de recherche est acceptable, nous ajoutons la clause de suppression à la fin de la commande pour supprimer ces événements de Splunk. Après la suppression, même un utilisateur avec des privilèges d'administrateur ne peut pas afficher ces données dans Splunk.

La suppression des données est irréversible. Si vous souhaitez toujours que les données supprimées soient renvoyées dans Splunk, vous devez avoir la copie de données source d'origine avec vous, qui peut être utilisée pour réindexer les données dans Splunk. Ce sera un processus similaire à la création d'un nouvel index.

Attribution du privilège de suppression

Tout utilisateur, y compris l'utilisateur administrateur, n'a pas accès pour supprimer les données par défaut. Par défaut, seul le"can_delete"role a la capacité de supprimer des événements. Nous créons donc un nouvel utilisateur, attribuons ce rôle, puis nous nous connectons avec les informations d'identification de ce nouvel utilisateur pour effectuer l'opération de suppression. L'image ci-dessous montre comment nous créons un nouvel utilisateur avec le rôle «can_delete». On arrive à cet écran en suivant le cheminSettings → Access Controls → Users → New User.

Nous nous déconnectons ensuite de l'interface Splunk et nous reconnectons avec cet utilisateur nouvellement créé.

Identifier les données à supprimer

Tout d'abord, nous devons identifier la liste des événements que nous voulons supprimer. Cela se fait à l'aide d'une requête de recherche normale spécifiant la condition de filtre. Dans l'exemple ci-dessous, nous choisissons de rechercher les événements de l'hôte web_application dont la valeur de statut http est 505. Notre objectif est de supprimer uniquement l'ensemble de données contenant ces valeurs à supprimer du résultat de la recherche. L'image ci-dessous montre cet ensemble de données sélectionné.

Suppression des données sélectionnées

Ensuite, nous utilisons la commande de suppression pour supprimer les données sélectionnées ci-dessus de l'ensemble de résultats. Il s'agit simplement d'ajouter le mot supprimer après «|» à la fin de la requête de recherche comme indiqué ci-dessous -

Après avoir exécuté la requête de recherche ci-dessus, nous pouvons voir l'écran suivant où ces événements ont été supprimés.

Vous pouvez également exécuter la requête de recherche pour vérifier que ces événements ne sont pas renvoyés dans le jeu de résultats.