Eu vejo de esta pergunta e resposta no próprio site Q & da Splunk que é possível excluir determinadas mensagens da indexação em uma instância do Splunk.
Eu tenho uma instância do Splunk Cloud onde a única maneira de configurar essas coisas é através da GUI. Eu não tenho acesso para editar os arquivos de configuração diretamente.
Esta resposta (novamente no site da Splunk) discute como traduzir entradas em props.conf em entradas para a GUI. No entanto, meu caso particular de filtrar mensagens totalmente não é coberto.
Como posso fazer isso com a GUI do Splunk?
Eu não usei a versão da nuvem desculpe mas se você instalar o 'full splunk' em seus clientes ao invés do light-forwarder você pode removê-los via adereços para que eles não sejam enviados ao indexador , obviamente você não quer que seus clientes indexem também, então configure-os para encaminhar tudo e não indexar nada.
Tags splunk