Getting Data In

Löschen von Events eines Jahres

C4Extadmin
New Member

Hallo

ich möchte alle Events (zum Beispiel) des Jahres 2014 löschen.
Verbunden mit einer Reduzierung des Plattenplatzes.

Gibt es da eine einfache Lösung ?

0 Karma

martin_mueller
SplunkTrust
SplunkTrust

Wurde dein Problem durch eine der Antworten gelöst?
Falls ja, bitte entsprechend für die Nachwelt als accepted markieren... falls nein, gerne nachfragen oder erläutern.

0 Karma

martin_mueller
SplunkTrust
SplunkTrust

Wenn du 2014 löschen willst, aber 2013 und 2015 behalten willst, gibt es keine vollständige Lösung, die auch Plattenplatz freigibt. Unvollständig könntest du manuell alle Buckets verschieben, die dem End- und Start-Zeitstempel im Ordnernamen nach nur Events aus 2014 enthalten, Splunk neustarten, verifizieren dass alles geht, und dann die verschobenen Buckets löschen.
So bekommst du den Speicherplatz, allerdings werden einige Events aus 2014 nicht gelöscht - nämlich diejenigen, die sich einen Bucket mit Events aus 2013 oder 2015 teilen.

Wenn du 2014 und alle älteren Events löschen willst, kannst du die frozenTimePeriodInSecs in indexes.conf so setzen, dass Ende 2014 herauskommt - dann räumt Splunk selbstständig alte Buckets auf und gibt Speicherplatz frei.
http://docs.splunk.com/Documentation/Splunk/6.4.0/Admin/indexesconf

Simon
Contributor

Du kannst den dafür Command "delete" nutzen. Achtung: Vorher muss die Berechtigung "can_delete" der Rolle zugewiesen werden).
ZU beachten ist, dass damit die Events nur als gelöscht markiert werden. Das heisst, diese tauchen dann bei weiteren Suche nicht mehr auf aber allerdings wird der von diesen Events verwendete Speicherplatz nicht freigegeben.
Physikalisch, also um Speicherplatz freizugeben, können nur ganze Indexes geleert werden.

0 Karma
Get Updates on the Splunk Community!

What's new in Splunk Cloud Platform 9.1.2312?

Hi Splunky people! We are excited to share the newest updates in Splunk Cloud Platform 9.1.2312! Analysts can ...

What’s New in Splunk Security Essentials 3.8.0?

Splunk Security Essentials (SSE) is an app that can amplify the power of your existing Splunk Cloud Platform, ...

Let’s Get You Certified – Vegas-Style at .conf24

Are you ready to level up your Splunk game? Then, let’s get you certified live at .conf24 – our annual user ...