Удаление объектов Kaspersky CyberTrace (Splunk)

В этом разделе описывается порядок удаления объектов, связанных с Kaspersky CyberTrace, из Splunk после удаления Kaspersky CyberTrace. Обратите внимание, что после удаления этих объектов события из Kaspersky CyberTrace останутся в Splunk.

Чтобы удалить объекты, связанные с Kaspersky CyberTrace, после удаления Kaspersky CyberTrace, выполните следующие действия:

1. Удалите следующие каталоги:
   1. Для схемы интеграции с одним экземпляром: %SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk.
   2. Для Search Head и Heavy Forwarder (распределенная схема интеграции): %SPLUNK_HOME%/etc/apps/Kaspersky-CyberTrace-App-for-Splunk.
   3. Для Universal Forwarder (распределенная схема интеграции): %SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder, в котором расположено приложение Kaspersky CyberTrace App for Splunk.

      Здесь %SPLUNK_HOME% — это каталог, в который установлен Splunk.

2. Перезапустите Splunk. Перезапустить Splunk можно либо с помощью веб-интерфейса Splunk, либо следующей командой:

   %SPLUNK_HOME%/bin/splunk restart

После этого можно очистить Splunk от событий, полученных от Kaspersky CyberTrace.

Чтобы очистить Splunk от событий, полученных от Kaspersky CyberTrace, выполните следующие действия:

1. Запустите приложение Search & Reporting, для этого нажмите его кнопку веб-интерфейсе Splunk.
2. Удалите события из Kaspersky CyberTrace:
   1. В поле Search введите следующую команду:

      index="main" sourcetype="kl_cybertrace_events" | delete

      Удаление событий из индекса main возможно только под учетной записью пользователя с ролью can_delete. Чтобы добавить эту роль в учетную запись пользователя, необходимо выбрать Settings > Roles в главном меню Splunk.

   2. Рядом с полем Search в раскрывающемся списке выбора временного интервала событий для поиска выберите All time.
   3. Нажмите на кнопку Search.

   

   Приложение «Search & Reporting»