Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

データサマリーから不要なデータを削除する方法

ohuchi
Explorer
‎11-09-2014 08:57 PM

データサマリーで表示されるホスト、ソース、ソースタイプにおいて、不要なデータを削除しようと思います。
現在V6.1.4(Windows 7)ですが、昔(V5)は、"| delete"を指定した場合、論理削除だけで物理削除は行われず表示が残る為、CLIで"splunk clean eventdata"を実行する必要があったと記憶せています。
確認の為に実行してみたところ、一部のデータでは、"| delete"を指定しただけでデータサマリーから表示が消えましたが、Splunkサーバの再起動を行っても表示され続けるものもありました。
色々と試していたところ、削除処理から数十分経って、不要な表示は全て表示されなくなりました。
"| metadata type=hosts | table host totalCount"等で確認すると、totalCount=0の行はデータサマリーから表示が消えていました。
ここで質問です。
(1) データサマリーから不要なデータを削除するには、"| delete"を実行すればよいのか?
(2) なぜ、サーバー再起動でも表示され続ける場合があるのか?
(3) いつ(どのバージョン)から不要なデータの表示を制御できるようになったのか?
以上、よろしくお願い致します。

Tags (1)
0 Karma
Reply

ohuchi
Explorer
‎11-09-2014 11:13 PM

回答、ありがとうございました。
"| delete"に対する仕様が変更になっていたのですね。Splunkは仕様変更の確認が楽ではないように思います。簡単に検索できるサイトやドキュメントがあるとありがたいです。
今後とも、よろしくお願いいたします。

0 Karma
Reply

Suda
Communicator
‎11-09-2014 10:58 PM

  1. Splunk 6.1.4では、「| delete」を実行すると、データサマリーにも反映されます。

  2. 「| delete」コマンドの実行により、検索時に表示されなくする処理の他に、データサマリーなどの統計情報の更新処理が行われるようです。deleteコマンドの実行が終わっても、統計情報の更新が完了していないタイミングでは、表示にずれが生じると思います。再起動は関係ないと思います。また、対象のデータが、複数のバケツにまたがる場合には、より時間がかかるものと予想されます。

  3. 確かに、以前のバージョンではdeleteコマンドの実行を行っても、データサマリーには反映されなかったと、私も記憶しています。残念ながらいつからデータサマリーに反映されるようになったのかは分かりかねます。

ご参考になれば幸いです。

イベントの削除を前提に運用設計をされるのであれば、deleteコマンドは論理削除なので、物理的に削除されるsplunk clean eventdataを使う事を前提にお考えいただいた方が良いと思います。そのため、テスト的な取り込みは、インデックスを分けるなどの運用が望ましいと思います。

0 Karma
Reply
Get Updates on the Splunk Community!

Built-in Service Level Objectives Management to Bridge the Gap Between Service & ...

Wednesday, May 29, 2024  |  11AM PST / 2PM ESTRegister now and join us to learn more about how you can ...

Get Your Exclusive Splunk Certified Cybersecurity Defense Engineer Certification at ...

We’re excited to announce a new Splunk certification exam being released at .conf24! If you’re headed to Vegas ...

Share Your Ideas & Meet the Lantern team at .Conf! Plus All of This Month’s New ...

Splunk Lantern is Splunk’s customer success center that provides advice from Splunk experts on valuable data ...