我需要找到在我们的Splunk实例中已经过时的数据 - 以便我可以将其删除
我需要一种方法来查找所有仪表板,并按使用情况对其进行排序。从审核日志中我已经能够找到所有活跃使用的日志,但由于我的目标是删除数据,我最需要的是未使用的仪表板
任何想法?
答案 0 :(得分:1)
您可以使用| rest /services/data/ui/views | search isDashboard=1
获取所有信息中心的列表。尝试将其与搜索活动仪表板相结合,以获取那些不活跃的仪表板。
| rest /services/data/ui/views | search isDashboard=1 NOT [<your audit search> | fields id | format]