Skip to main content

Borrar eventos de un index

Si por algun motivo se desea borrar datos de un index, porque no se necesitan ya, se puede usar el comando. Por ejemplo, se quieren borrar los datos de un host windows que se han integrado en el index main

index=mainwindows sourcetype=WinEventLog host=LTOP-LEGION"psc-splunk-hf" | delete

Error in 'delete' command: You have insufficient privileges to delete events Si se encuentra el resultado siguiente 

Error in 'delete' command: You have insufficient privileges to delete events.

Edite roles

Active el rol delete_by_keyword

En caso de que continue dando errores, indicando que no se dispone de permisos en el indice para borrar

https://community.splunk.com/t5/Getting-Data-In/How-do-I-delete-from-the-main-index/m-p/371751

añada el parametro

deleteIndexesAllowed = main;windows;linux
Back to top