Удаление данных по созданной политике или фильтру

Допустим, есть какая-то программа или что-то другое, что сгенерировало огромное количество событий или файлов, но эти данные для вас не несут пользы и требуется удалить их. Существует два способа удаления данных:

Политика удаления событий

С помощью данной политики возможно удалить события попадающие под критерии фильтра в заданном диапазоне времени (если указано). Удаление происходит не сразу, а в течение некоторого времени (зависит от кол-ва событий).

Примечание

Рекомендуем указывать период за который требуется удалить данные. В противном случае политика удалит все события включая новые. Удаляются события и связанные с ними файлы.

Пример работы

  1. Создаем политику удаления событий и включаем ее нажав на «Политика активна».

../_images/delete_data_4.png

  1. Переходим во вкладку фильтр и выбираем нужные нам данные. В примере удаляем все событий для приложения acrord32.exe за апрель и май.

../_images/delete_data_3.png

Удаления данных с использованием фильтра

Для удаления данных за определенный период используется команда:

staffcop delete-filter [--from=YYYY-MM-DD] [--to=YYYY-MM-DD] FILTER_NAME

Команда удаляет события попадающие под критерии фильтра «ИМЯ_ФИЛЬТРА» в заданном диапазоне времени (если указано).

Примечание

Команда не сработает, если количество удаляемых событий больше 50000. В таком случае рекомендуется использовать политику удаления событий.

Пример работы

  1. Создаем фильтр с данными для удаления

../_images/delete_data_1.png

  1. Удаляем все данные с 9 декабря по 13 февраля.

../_images/delete_data_2.png

Было удалено 123 события из базы данных.