- Splunk Answers
- :
- Splunk Administration
- :
- Getting Data In
- :
- データ削除コマンド実行時の影響範囲
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
消し方によって、
・・・ | delete
単純にサーチ時にイベントがHITしないようにする
Indexの定義も残り、データ自体もディスク上に残るが、サーチで引っかからないようになる
サーチとして実行するため、Splunkが実行されている時に実施
splunk clean eventdata -index
Indexの定義は残るが、データは消える
Splunkが停止している際に実行
splunk remove index
データも消え、Indexの定義も消える
indexes.confの該当Indexエントリが削除される。
Splunk実行中でも実施可能
それぞれIndexが保存されているディレクトリ内の情報が変更されたり、削除されたりします。
デフォルトでは、$SPLUNK_HOME/var/lib/splunk 配下に各Indexに指定されているディレクトリが存在します。
消す前に、inputs.conf(データ入力設定)の内容を確認して、消したIndexにデータがIndexされるような設定が残らないように考慮頂く必要がありますので、この辺り注意が必要です。
詳細は、以下のRemove indexes and data from Splunkや、Answersを参考にしていただければとおもいます。
http://docs.splunk.com/Documentation/Splunk/latest/Indexer/RemovedatafromSplunk
http://splunk-base.splunk.com/answers/62516/delete-the-data-after-indexing
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
消し方によって、
・・・ | delete
単純にサーチ時にイベントがHITしないようにする
Indexの定義も残り、データ自体もディスク上に残るが、サーチで引っかからないようになる
サーチとして実行するため、Splunkが実行されている時に実施
splunk clean eventdata -index
Indexの定義は残るが、データは消える
Splunkが停止している際に実行
splunk remove index
データも消え、Indexの定義も消える
indexes.confの該当Indexエントリが削除される。
Splunk実行中でも実施可能
それぞれIndexが保存されているディレクトリ内の情報が変更されたり、削除されたりします。
デフォルトでは、$SPLUNK_HOME/var/lib/splunk 配下に各Indexに指定されているディレクトリが存在します。
消す前に、inputs.conf(データ入力設定)の内容を確認して、消したIndexにデータがIndexされるような設定が残らないように考慮頂く必要がありますので、この辺り注意が必要です。
詳細は、以下のRemove indexes and data from Splunkや、Answersを参考にしていただければとおもいます。
http://docs.splunk.com/Documentation/Splunk/latest/Indexer/RemovedatafromSplunk
http://splunk-base.splunk.com/answers/62516/delete-the-data-after-indexing
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
remove時のみ設定ファイルindexes.confへの影響があるということですね。
それぞれ$SPLUNK_HOME/var/lib/splunk 配下などへの影響があるとのことで承知しました。
回答ありがとうございました。
Introducing the Splunk Community Dashboard Challenge!
Built-in Service Level Objectives Management to Bridge the Gap Between Service & ...
Get Your Exclusive Splunk Certified Cybersecurity Defense Engineer Certification at ...
