查询在 Splunk DB 数据删除:
我的要求:
我根据时间戳“从日期”和“到日期”查询 splunk。
在获得时间戳之间的所有事件结果列表后,我想从 Splunk 数据库中删除这些事件列表。
每个查询的结果数据都将存储在目标数据库中,因此我想从查询 Splunk DB 中删除每个查询的结果数据,这样我的下一个查询不会最终给出重复的结果,我也想释放存储空间源 Splunk 数据库。
因此,我想要一个有效的解决方案来解决如何从查询 Splunk DB 中完全删除查询的结果数据?
谢谢和问候, Dharmendra Setty
我不确定您是否可以实际删除它们以释放存储空间。如此处所写,您可以做的只是掩盖结果,以免在下一次搜索中再次出现。
为此,只需将“删除”命令传递给您的搜索查询。
请注意:首先确保这些确实是您要删除的事件
例子:
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S" | delete
在哪里
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S"
是搜索查询