ログをIndex化した後のデータの消し方について、特定またはすべてのIndex内のイベントをすべて消すのではなく、一部のイベントを削除する方法をおしえてください。
サーチを実行するUIから、deleteコマンドを使う方法があります。
...消したいイベントを抽出するためのサーチ... | delete
Deleteコマンドで削除したイベントは、ディスク内には情報は残りますが、サーチの対象外になります。 *消したという事実を残すための仕様のようです。
消し方のステップとしては、
参考 http://docs.splunk.com/Documentation/Splunk/latest/Indexer/RemovedatafromSplunk
View solution in original post
