查询是Splunk的DB数据删除:如何从Splunk数据库中删除查询结果?
我的要求:
我做一个查询基于时间戳,“从日期” &“最新”到Splunk的。
当我得到了时间戳之间的所有事件结果列表后,我想从Splunk数据库中删除这些事件列表。
每个查询的结果数据都将存储在目标数据库中,因此我想从查询Splunk DB中删除每个查询结果数据,以便我的下一个查询不会在给出重复结果时结束,我也想释放源Splunk DB中的存储空间。
因此,我想要一个有效的解决方案,以便如何从查询Splunk DB中完全删除查询结果数据?
感谢&问候, 达门德拉Setty
我不知道你其实可以将其删除以释放存储空间。 正如你所写的here,你可以做的只是掩盖在下次搜索中再次显示的结果。
要做到这一点,只需将“删除”命令管道到您的搜索查询。
要小心:首先要确保这些真的是你想删除的事件
例子:
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S" | delete
凡
index=<index-name> sourcetype=<sourcetype-name> source=<source-name>
earliest="%m/%d/%Y:%H:%M:%S" latest="%m/%d/%Y:%H:%M:%S"
是搜索查询