Skip to main content

Borrar eventos de un index

Si por algun motivo se desea borrar datos de un index, porque no se necesitan ya, se puede usar el comando. Por ejemplo, se quieren borrar los datos de un host windows que se han integrado en el index main

index=windows sourcetype=WinEventLog host="psc-splunk-hf" | delete

Error in 'delete' command: You have insufficient privileges to delete events Si se encuentra el resultado siguiente 

Error in 'delete' command: You have insufficient privileges to delete events.

Edite roles

Active el rol delete_by_keyword

En caso de que continue dando errores, indicando que no se dispone de permisos en el indice para borrar

https://community.splunk.com/t5/Getting-Data-In/How-do-I-delete-from-the-main-index/m-p/371751

añada el parámetro

deleteIndexesAllowed = main;windows;linux

y posteriormente reinicie el servicio de Splunk. Si ha de realizarlo desde Shell.

cd /opt/splunk/bin && ./splunk restart
Back to top