サーチを実行するUIから、deleteコマンドを使う方法があります。

...消したいイベントを抽出するためのサーチ... | delete

Deleteコマンドで削除したイベントは、ディスク内には情報は残りますが、サーチの対象外になります。
＊消したという事実を残すための仕様のようです。

消し方のステップとしては、

1. delete コマンドを実行できるようにユーザにdelete_by_keyword権限を付与する。 （もしくはcan_deleteロールを付与）
2. 消す対象となるイベントを抽出するサーチを作成する。
3. 2のサーチの後ろに | delete を付け足して、イベントを削除する。
4. 1でユーザに付与した権限を取り消す。（念のため）

参考
http://docs.splunk.com/Documentation/Splunk/latest/Indexer/RemovedatafromSplunk