deleteコマンドを使用して検索結果から任意のイベントを削除する(非表示にする)

公開日
2018-06-18
最終更新日
2018-06-18
バージョン
Splunk Enterprise 6.5.0
概要
deleteコマンドを使用して検索結果から任意のイベントを削除する(非表示にする)方法
参考情報
内容

deleteコマンドを使って任意のイベントを検索結果から削除する(非表示にする)ことが可能です。特定のユーザーに対しcan_deleteのロールを付与することで、そのユーザーはdeleteコマンドを実行することができるようになります。

[手順]

  • 設定>アクセス制御>ユーザーより、任意のユーザーを選択します。
  • 手順1. で選択したユーザーに対し、「利用できるロール」からcan_deleteを選択し、保存します。
  • 手順1. で選択したユーザーでSplunk Webにログインし、検索画面を表示します。
  • 非表示にしたい検索結果を得られるような検索文を実行します。 表示された結果を非表示にしても問題ないか確認します。
    ※検索条件にマッチしたイベントが、以後検索結果に表示されないようになります。
    (例)sourcetype="syslog" abcdef
  • 手順4.の検索文にdeleteコマンドを追加し、検索を実行します。(例)sourcetype="syslog" abcdef | delete

[注意事項]

  • 上記の例は、 sourcetype="syslog"の中でabcdefという文字列を持つイベントを検索結果から削除する(非表示にする)例となります。
  • deleteコマンドを使用する方法は、該当するイベントに対して削除フラグを立てるものです。削除フラグをもったイベントは、以後、検索結果には表示されませんがデータとしては削除されていません。
  • 削除作業するユーザーに対して、イベントを削除する「役割」(can_delete)を付与する必要があります。
  • Splunk6.5.0以降より、deleteコマンドを実行するには「delete_by_keyword」の権限に加えて、deleteコマンドが実行可能なインデックスを指定する権限「deleteIndexesAllowed」が必要になりました。

Splunk6.5.0以降の環境で「利用できるロール」にcan_deleteを選択せずに「delete_by_keyword」の権限を追加しても、deleteコマンド実行時に下記のメッセージが検索画面に表示され、イベントの削除(非表示化)が行われません。

You do not have the capability to delete from index=<インデックス名>

上記のメッセージが検索画面に表示されている場合、上記【手順】1.2.のように「利用できるロール」にcan_deleteを選択することで、「deleteIndexesAllowed」を設定しなくても、deleteコマンドが実行可能となります。

※「deleteIndexesAllowed」の権限を設定する場合「authorize.conf」を直接編集してSplunkサービスの再起動が必要となります。

deleteコマンドやcan_deleteのロールについては参考情報をご覧ください。

以上