查询Splunk数据库数据删除:
我的要求:
我根据时间戳查询splunk,“from date”& “到目前为止”。
在我获得时间戳之间的所有事件结果列表后,我想从Splunk数据库中删除这些事件列表。
每个查询结果数据都将存储在目标数据库中,因此我想从查询Splunk DB中删除每个查询结果数据,以便我的下一个查询不会最终给出重复结果,我也想释放源Splunk DB中的存储空间。
因此,我想要一个有效的解决方案,如何从查询Splunk DB中完全删除查询结果数据?
谢谢&问候, Dharmendra Setty
答案 0 :(得分:0)
我不确定您是否可以删除它们以释放存储空间。 正如here所写的那样,你可以做的只是掩盖在下次搜索中再次出现的结果。
要执行此操作,只需将“删除”命令传递给搜索查询。
小心:首先确保这些是您要删除的事件
示例:
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S" | delete
哪里
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S"
是搜索查询