このセクションでは、Kaspersky CyberTrace のアンインストール後に、Kaspersky CyberTrace に関連するオブジェクトを Splunk から削除する方法について説明します。これらのオブジェクトを削除した後、Kaspersky CyberTrace からのイベントは Splunk に保持されます。
Kaspersky CyberTrace をアンインストールした後、Kaspersky CyberTrace に関連するオブジェクトを削除するには:
%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk
。%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk
。%SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder
。ここには、 Kaspersky CyberTrace App for Splunk が含まれています。ここで、%SPLUNK_HOME%
は Splunk がインストールされているディレクトリです。
%SPLUNK_HOME%/bin/splunk restart
これで、Kaspersky CyberTrace から受け取った Splunk のイベントを消去できます。
Kaspersky CyberTrace から受け取った Splunk のイベントを消去するには:
index="main" sourcetype="kl_cybertrace_events" | delete
main
インデックスからのイベントを削除できるのは、can_delete
ロールを持つユーザーアカウントのみです。このロールをユーザーアカウントに追加するには、Splunk メインメニューで[Settings]→[Roles]の順に選択します。
Search & Reporting アプリ