データサマリーから不要なデータを削除する方法

ohuchi · ‎11-09-2014

データサマリーで表示されるホスト、ソース、ソースタイプにおいて、不要なデータを削除しようと思います。
現在V6.1.4（Windows 7)ですが、昔(V5)は、"| delete"を指定した場合、論理削除だけで物理削除は行われず表示が残る為、CLIで"splunk clean eventdata"を実行する必要があったと記憶せています。
確認の為に実行してみたところ、一部のデータでは、"| delete"を指定しただけでデータサマリーから表示が消えましたが、Splunkサーバの再起動を行っても表示され続けるものもありました。
色々と試していたところ、削除処理から数十分経って、不要な表示は全て表示されなくなりました。
"| metadata type=hosts | table host totalCount"等で確認すると、totalCount=0の行はデータサマリーから表示が消えていました。
ここで質問です。
(1) データサマリーから不要なデータを削除するには、"| delete"を実行すればよいのか？
(2) なぜ、サーバー再起動でも表示され続ける場合があるのか？
(3) いつ(どのバージョン)から不要なデータの表示を制御できるようになったのか？
以上、よろしくお願い致します。

ohuchi · ‎11-09-2014

回答、ありがとうございました。
"| delete"に対する仕様が変更になっていたのですね。Splunkは仕様変更の確認が楽ではないように思います。簡単に検索できるサイトやドキュメントがあるとありがたいです。
今後とも、よろしくお願いいたします。

Suda · ‎11-09-2014

Splunk 6.1.4では、「| delete」を実行すると、データサマリーにも反映されます。
「| delete」コマンドの実行により、検索時に表示されなくする処理の他に、データサマリーなどの統計情報の更新処理が行われるようです。deleteコマンドの実行が終わっても、統計情報の更新が完了していないタイミングでは、表示にずれが生じると思います。再起動は関係ないと思います。また、対象のデータが、複数のバケツにまたがる場合には、より時間がかかるものと予想されます。
確かに、以前のバージョンではdeleteコマンドの実行を行っても、データサマリーには反映されなかったと、私も記憶しています。残念ながらいつからデータサマリーに反映されるようになったのかは分かりかねます。

ご参考になれば幸いです。

イベントの削除を前提に運用設計をされるのであれば、deleteコマンドは論理削除なので、物理的に削除されるsplunk clean eventdataを使う事を前提にお考えいただいた方が良いと思います。そのため、テスト的な取り込みは、インデックスを分けるなどの運用が望ましいと思います。

データサマリーから不要なデータを削除する方法

Introducing the Splunk Community Dashboard Challenge!

Wondering How to Build Resiliency in the Cloud?

Updated Data Management and AWS GDI Inventory in Splunk Observability