Splunk에서 앱을 제거해야 할 때가 있다. 일단 UI에서는 제거하는 탭이 없다.
터미널에서 직접 제거해줘야 하는데, 이때 주의해야 할 점이 있다.
1. App과 관련된 모든 Knowledge Object가 사라진다.
1) 앱에 저장되는 Knowledge Object 목록
- saved searches
- event types
- tags
- field extractions
- lookups
- reports
- alerts
- data models
- workflow actions
- fields
등이 모두 App 하위에 저장되기 때문에, 만약 실수로 삭제하기 전에 미리 앱에 어떤 항목이 있는지 먼저 확인해보는 것이 좋겠다.
2) 앱에 저장되는 Knowledge Object 목록 한번에 확인하기
| rest /servicesNS/-/-/admin/directory count=0 splunk_server=local
| rename eai:* as *, acl.* as *
| eval updated=strptime(updated,"%Y-%m-%dT%H:%M:%S%Z"), updated=if(isnull(updated),"Never",strftime(updated,"%d %b %Y"))
| sort type
| stats list(title) as title, list(type) as type, list(orphaned) as orphaned, list(sharing) as sharing, list(owner) as owner, list(updated) as updated by app결과는 다음과 같이 나오게 된다.
2. 앱 제거하기
1) 앱 파일 제거
먼저 bin 밑에 splunk 실행파일이 있는 디렉토리로 이동한다. 이후에 다음과 같은 명령어를 써주면 된다.
./splunk remove app "앱 명" -auth <username>:<password>
2) 사용자 별로 할당된 앱 디렉터리 제거
이후 여기에 있는 파일을 삭제하여 앱 또는 추가 기능에 대해 생성된 사용자별 디렉터리를 제거한다.
rm -rf $SPLUNK_HOME/splunk/etc/users/*/<appname>3) 앱과 연결된 데이터 인덱스 제거
Splunk에서는 가시적으로만 제거가된다. 데이터는 서버의 시스템 파일 구조에 유지된다. 따라서 이를 공식적으로 삭제해야 한다.
- 설정 > 인덱스 탭으로 이동한다.
현재는 시스템 앱 관련 인덱스밖에 없지만, 여기에 제거하려는 앱의 인덱스가 있다면 삭제해주면 된다.
3-1) 앱에 연결된 인덱스에 접근하기 위해 만들었던 Role이 있다면 삭제
설정 > 사용자 및 인증 > 역할
로 이동한 후, 여기서 별도로 생성한 역할이 있다면 삭제해주면된다.
4) Splunk 재시작!
Moonlilght