Kaspersky CyberTrace オブジェクトの削除（Splunk）

このセクションでは、Kaspersky CyberTrace のアンインストール後に、Kaspersky CyberTrace に関連するオブジェクトを Splunk から削除する方法について説明します。これらのオブジェクトを削除した後、Kaspersky CyberTrace からのイベントは Splunk に保持されます。

Kaspersky CyberTrace をアンインストールした後、Kaspersky CyberTrace に関連するオブジェクトを削除するには：

1. 次のディレクトリを削除します：
   1. 単一インスタンスの連携スキームでは：%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk。
   2. Search Head および Heavy Forwarder（分散型連携スキーム）では：%SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk。
   3. Universal Forwarder（分散型連携スキーム）では：%SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder。ここには、 Kaspersky CyberTrace App for Splunk が含まれています。

      ここで、%SPLUNK_HOME% は Splunk がインストールされているディレクトリです。

2. Splunk を再起動します。Splunk を再起動するには、Splunk Web を使用するか、または次のコマンドを実行します：

   %SPLUNK_HOME%/bin/splunk restart

これで、Kaspersky CyberTrace から受け取った Splunk のイベントを消去できます。

Kaspersky CyberTrace から受け取った Splunk のイベントを消去するには：

1. Splunk Web の該当するボタンをクリックして、Search & Reporting アプリを実行します。
2. Kaspersky CyberTrace から受信したイベントを削除するには：
   1. ［Search］フィールドに、次のコマンドを入力します：

      index="main" sourcetype="kl_cybertrace_events" | delete

      main インデックスからのイベントを削除できるのは、can_delete ロールを持つユーザーアカウントのみです。このロールをユーザーアカウントに追加するには、Splunk メインメニューで［Settings］→［Roles］の順に選択します。

   2. ［Search］フィールドの横にある、検索するイベントの時間間隔を選択するためのドロップダウンリストで、［All time］を選択します。
   3. ［Search］をクリックします。

   

   Search & Reporting アプリ