查詢是Splunk的DB數據刪除:如何從Splunk數據庫中刪除查詢結果?
我的要求:
我做一個查詢基於時間戳,「從日期」 &「最新」到Splunk的。
當我得到了時間戳之間的所有事件結果列表後,我想從Splunk數據庫中刪除這些事件列表。
每個查詢的結果數據都將存儲在目標數據庫中,因此我想從查詢Splunk DB中刪除每個查詢結果數據,以便我的下一個查詢不會在給出重複結果時結束,我也想釋放源Splunk DB中的存儲空間。
因此,我想要一個有效的解決方案,以便如何從查詢Splunk DB中完全刪除查詢結果數據?
感謝&問候, 達門德拉Setty
我不知道你其實可以將其刪除以釋放存儲空間。 正如你所寫的here,你可以做的只是掩蓋在下次搜索中再次顯示的結果。
要做到這一點,只需將「刪除」命令管道到您的搜索查詢。
要小心:首先要確保這些真的是你想刪除的事件
例子:
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S" | delete
凡
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S"
是搜索查詢