软删除,直接使用搜索命令进行删除,这种删除只会使数据不在前段显示,但实际依然存储在硬盘上。
硬删除,删除硬盘上已索引的是数据。需要关闭splunk服务,并使用splunk命令执行。

软删除 index="idx_wanglog4" "aaaaaaaa15"|delete

需要提前赋予权限,设置——访问控制——用户——[用户名]——添加can_delete角色,即可。

硬删除
关闭splunk服务器,./splunk stop
执行 ./splunk clean eventdata -index myindexname -f
myindexname 替换为实际的index名称即可,-f是不需要再次确认,如果不加这个参数,会提示是否确认删除,输入y即可。

参考:
豆腐的觉悟
https://docs.splunk.com/Documentation/Splunk/6.3.14/Indexer/RemovedatafromSplunk


距离上篇文章,已经超过1年多了。而整个2018年,竟然只写[凑数]了一篇文章。

2018年发生了太多事情,网易博客关停,原本计划把所有的文章都克隆到自建博客中,一篇一篇复制显示不是一名技术人员的风格,但是懒癌发作,导致现在还没做。倒是把分类都加进来了,网易博客的文章导出到sqlite了,还存在家里的电脑,可能、大概,某天就会被删除吧。算了,过去的就过去吧,总活在过去的记忆中,不好。

2019年已经过了三分之一了,不好再立flag了,因为总会打自己的脸。尽量多做一些吧,尽量多写一些文章、笔记,尽量多看一些书,尽量多陪陪家人,尽量多锻炼身体。


2020年11月24日更新

删除了splunk enterprise端的索引,forward端的索引一般也要删除一下

$SPLUNKFORWARD_HOME/bin/splunk clean all

参考:https://community.splunk.com/t5/Getting-Data-In/How-to-reindex-data-from-a-forwarder/m-p/93310