В этом разделе описывается порядок удаления объектов, связанных с Kaspersky CyberTrace, из Splunk после удаления Kaspersky CyberTrace. Обратите внимание, что после удаления этих объектов события из Kaspersky CyberTrace останутся в Splunk.
Чтобы удалить объекты, связанные с Kaspersky CyberTrace, после удаления Kaspersky CyberTrace, выполните следующие действия:
%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk
.%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk
.%SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder
, в котором расположено приложение Kaspersky CyberTrace App for Splunk.Здесь %SPLUNK_HOME%
— это каталог, в который установлен Splunk.
%SPLUNK_HOME%/bin/splunk restart
После этого можно очистить Splunk от событий, полученных от Kaspersky CyberTrace.
Чтобы очистить Splunk от событий, полученных от Kaspersky CyberTrace, выполните следующие действия:
index="main" sourcetype="kl_cybertrace_events" | delete
Удаление событий из индекса main
возможно только под учетной записью пользователя с ролью can_delete
. Чтобы добавить эту роль в учетную запись пользователя, необходимо выбрать Settings > Roles в главном меню Splunk.
Приложение «Search & Reporting»