Kaspersky CyberTrace オブジェクトの削除(Splunk)
Kaspersky CyberTrace オブジェクトの削除(Splunk)
2024年4月11日
ID 175519
このセクションでは、Kaspersky CyberTrace のアンインストール後に、Kaspersky CyberTrace に関連するオブジェクトを Splunk から削除する方法について説明します。これらのオブジェクトを削除した後、Kaspersky CyberTrace からのイベントは Splunk に保持されます。
Kaspersky CyberTrace をアンインストールした後、Kaspersky CyberTrace に関連するオブジェクトを削除するには:
- 次のディレクトリを削除します:
- 単一インスタンスの連携スキームでは:
%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk
。 - Search Head および Heavy Forwarder(分散型連携スキーム)では:
%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk
。 - Universal Forwarder(分散型連携スキーム)では:
%SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder
。ここには、 Kaspersky CyberTrace App for Splunk が含まれています。ここで、
%SPLUNK_HOME%
は Splunk がインストールされているディレクトリです。
- 単一インスタンスの連携スキームでは:
- Splunk を再起動します。Splunk を再起動するには、Splunk Web を使用するか、または次のコマンドを実行します:
%SPLUNK_HOME%/bin/splunk restart
これで、Kaspersky CyberTrace から受け取った Splunk のイベントを消去できます。
Kaspersky CyberTrace から受け取った Splunk のイベントを消去するには:
- Splunk Web の該当するボタンをクリックして、Search & Reporting アプリを実行します。
- Kaspersky CyberTrace から受信したイベントを削除するには:
- [Search]フィールドに、次のコマンドを入力します:
index="main" sourcetype="kl_cybertrace_events" | delete
main
インデックスからのイベントを削除できるのは、can_delete
ロールを持つユーザーアカウントのみです。このロールをユーザーアカウントに追加するには、Splunk メインメニューで[Settings]→[Roles]の順に選択します。 - [Search]フィールドの横にある、検索するイベントの時間間隔を選択するためのドロップダウンリストで、[All time]を選択します。
- [Search]をクリックします。
Search & Reporting アプリ
- [Search]フィールドに、次のコマンドを入力します:
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。