Solved: データ削除コマンド実行時の影響範囲

msgtrk · ‎05-29-2013

以下のそれぞれのコマンドを実行した場合、影響される設定ファイルにはどのようなものがありますか？

（例えば indexes.conf など）

また、設定ファイル以外にも影響のあるファイル・ディレクトリがあれば教えてください。

melonman · ‎05-29-2013

消し方によって、

・・・ | delete
単純にサーチ時にイベントがHITしないようにする
Indexの定義も残り、データ自体もディスク上に残るが、サーチで引っかからないようになる
サーチとして実行するため、Splunkが実行されている時に実施

splunk clean eventdata -index
Indexの定義は残るが、データは消える
Splunkが停止している際に実行

splunk remove index
データも消え、Indexの定義も消える
indexes.confの該当Indexエントリが削除される。
Splunk実行中でも実施可能

それぞれIndexが保存されているディレクトリ内の情報が変更されたり、削除されたりします。
デフォルトでは、$SPLUNK_HOME/var/lib/splunk 配下に各Indexに指定されているディレクトリが存在します。

消す前に、inputs.conf（データ入力設定）の内容を確認して、消したIndexにデータがIndexされるような設定が残らないように考慮頂く必要がありますので、この辺り注意が必要です。

melonman · ‎05-29-2013

消し方によって、

・・・ | delete
単純にサーチ時にイベントがHITしないようにする
Indexの定義も残り、データ自体もディスク上に残るが、サーチで引っかからないようになる
サーチとして実行するため、Splunkが実行されている時に実施

splunk clean eventdata -index
Indexの定義は残るが、データは消える
Splunkが停止している際に実行

splunk remove index
データも消え、Indexの定義も消える
indexes.confの該当Indexエントリが削除される。
Splunk実行中でも実施可能

それぞれIndexが保存されているディレクトリ内の情報が変更されたり、削除されたりします。
デフォルトでは、$SPLUNK_HOME/var/lib/splunk 配下に各Indexに指定されているディレクトリが存在します。

消す前に、inputs.conf（データ入力設定）の内容を確認して、消したIndexにデータがIndexされるような設定が残らないように考慮頂く必要がありますので、この辺り注意が必要です。

msgtrk · ‎05-29-2013

remove時のみ設定ファイルindexes.confへの影響があるということですね。
それぞれ$SPLUNK_HOME/var/lib/splunk 配下などへの影響があるとのことで承知しました。

回答ありがとうございました。

データ削除コマンド実行時の影響範囲