ご教授ください。
PC上のフォルダを指定して、データのアップロードを行いました。(モニタで登録しました。):データA
この状態で、ダッシュボードを作り、一旦の日の目を見たのですが、別データも取り込んで
拡張的な分析をしようと思ったときに、誤って上のフォルダの中身を更新してしまいました。:データB
その結果、該当のIndexerがデータA+データBにアップデートされました。。。
一旦Indexerを削除して作り直すことも考えましたが、上記したように、このIndexerを基本とした
ダッシュボードを作りきっていること、とりあえず現行ダッシュボード上はデータAのfiledだけを参照する
形のため、更新は遅いものの使えていることから、Indexerの作り直しをためらっております。
どうにか、データBだけを当該Indexerから消せないものかと思ったのですが、方法が分かりません。
何か方法はあるものでしょうか?
初心者質問で恐縮ですが、宜しくお願いします。
もしsourcetypeが異なるようであれば
jacobevans さんが回答している内容で削除してください。
同一のsourcetypeであれば下記のコマンドで取り込みを行った時間を表示することが可能です。
index=someindex | eval indextime=strftime(_indextime,"%Y-%m-%d %H:%M:%S")
その後、誤って取り込んでしまった時刻のデータのみに絞り込み
| delete
コマンドで削除してください。
もしsourcetypeが異なるようであれば
jacobevans さんが回答している内容で削除してください。
同一のsourcetypeであれば下記のコマンドで取り込みを行った時間を表示することが可能です。
index=someindex | eval indextime=strftime(_indextime,"%Y-%m-%d %H:%M:%S")
その後、誤って取り込んでしまった時刻のデータのみに絞り込み
| delete
コマンドで削除してください。
ありがとうございます。
sourcetypeも同一であるため、取り込み時刻を限定してやってみます。
Create a search that returns the data you want to delete, e.g.:
index=someindex sourcetype=dataB
Then, just pipe it to the delete
command.
index=someindex sourcetype=dataB | delete
https://docs.splunk.com/Documentation/Splunk/latest/Indexer/RemovedatafromSplunk
[From Google Translate]
削除するデータを返す検索を作成します。例:
インデックス=何らかのインデックスソースタイプ=データB
次に、削除コマンドにパイプします。
インデックス=何らかのインデックスソースタイプ=データB | 削除する
説明した方法でデータを削除するには、ユーザーにcan_deleteロールが必要です。