Splunk 平台功能表

能力名称	它让你做什么	user	Power	Admin
accelerate_datamodel	启用或禁用数据模型加速。将加速设置为 true 以启用此数据模型的自动加速。根据事件、字段和数据中不同字段值的数量，需要额外的空间。有关详细信息，请参阅知识管理器手册。			X
accelerate_search	允许用户启用或禁用报表加速。用户还必须分配有 schedule_search 能力。适用于使用转换命令的搜索。有关详细信息，请参阅知识管理器手册。	X	X	X
admin_all_objects	允许用户访问和修改系统中的任何对象，而不管对象中设置的任何限制。例如用户对象、搜索作业、报告和知识对象。让用户绕过任何 ACL 限制，就像 *nix 环境中的 root 访问一样。			X
change_authentication	允许用户更改身份验证设置并重新加载身份验证。有关身份验证的更多信息，请参阅《保护 Splunk Enterprise 手册》。			X
change_own_password	允许用户更改自己的密码。	X	X	X
delete_by_keyword	让用户使用“删除”运算符。“删除”命令将搜索返回的所有事件标记为已删除。这会屏蔽数据，使其不显示在搜索结果中，但实际上并不会删除磁盘上的原始数据。有关详细信息，请参阅搜索手册。
delete_messages	允许用户删除出现在 UI 导航栏中的系统消息。	X	X	X
dispatch_rest_to_indexers	允许用户将 REST 搜索命令分派给索引器。			X
edit_bookmarks_mc	允许用户在监控控制台中添加书签URL。URL 将管理员重定向到其他 Splunk 部署中的监控控制台实例。			X
edit_deployment_client	允许用户更改部署客户端设置。有关部署客户端的更多信息，请参阅管理索引器和索引器集群手册。			X
edit_deployment_server	允许用户更改部署服务器设置。用户可以更改或创建推送到转发器和其他部署客户端的远程输入。有关部署服务器的更多信息，请参阅管理索引器和索引器集群手册。			X
edit_dist_peer	允许用户为分布式搜索添加和编辑节点。有关详细信息，请参阅管理索引器和索引器集群手册。			X
edit_encryption_key_provider	允许用户在对远程存储卷使用服务器端加密 (SSE) 时查看和编辑密钥提供程序属性。			X
edit_field_filter	允许具有管理员权限的用户使用 Splunk 平台 REST API授权/角色/{name} 端点更新角色的字段过滤器配置。请参阅REST API 参考手册中的authorization/roles/{name}。			X
edit_forwarders	允许用户更改转发器设置，包括 SSL 设置、退避方案等。也由 TCP 和 Syslog 输出管理处理程序使用。			X
edit_global_banner	允许用户启用和自定义 Splunk Web 中的全局横幅功能。			X
edit_health	允许用户通过端点启用/禁用健康报告、设置健康状态警报以及为splunkd健康状态树中的功能设置指标阈值server/health-config/。			X
edit_httpauths	允许用户通过 httpauth-tokens 端点编辑和结束用户会话。			X
edit_indexer_cluster	允许用户编辑索引器集群。有关索引器的更多信息，请参阅管理索引器和索引器集群手册。			X
edit_indexerdiscovery	允许用户编辑索引器发现的设置，包括 、 等的master_uri设置pass4SymmKey。由 Indexer Discovery 管理处理程序使用。			X
edit_input_defaults	允许用户使用服务器设置端点更改输入数据的默认主机名。			X
edit_local_apps	允许用户编辑应用程序管理的操作。仅当您enable_install_apps在 中将设置设置为“true”时才适用authorize.conf。			X
edit_log_alert_event	允许用户在满足警报条件时记录事件。还允许用户为 Splunk Web 中的警报操作选择“记录事件”选项。		X	X
edit_metric_schema	允许用户设置日志到指标的转换，可以将单个日志事件转换为多个指标数据点。			X
edit_metrics_rollup	允许用户创建和编辑指标汇总策略，这些策略为特定指标索引上的指标聚合和汇总设置规则。			X
edit_monitor	允许用户为监视文件添加输入和编辑设置。也被标准输入端点和一次性输入端点使用。			X
edit_roles	允许用户编辑角色和更改用户/角色映射。由用户和角色端点使用。			X
edit_roles_grantable	允许用户编辑角色并更改一组有限角色的用户/角色映射。可以将任何角色分配给其他用户。要限制此功能，请grantableRoles在 authorize.conf 中进行配置。例如：grantableRoles = role1;role2;role3			X
edit_scripted	允许用户创建和编辑脚本输入。			X
edit_search_concurrency_all	允许用户编辑与最大并发搜索相关的设置。			X
edit_search_concurrency_scheduled	允许用户编辑与计划搜索并发相关的设置。
edit_search_head_clustering	允许用户编辑搜索头群集设置。			X
edit_search_schedule_priority	允许用户为搜索分配高于正常的计划优先级。有关搜索调度程序的信息，请参阅知识管理器手册。			X
edit_search_schedule_window	允许用户将计划窗口分配给计划报告。需要 schedule_search 功能。有关搜索调度程序的更多信息，请参阅知识管理器手册。	X	X	X
edit_search_scheduler	允许用户启用和禁用搜索调度程序。请参阅知识管理器手册。			X
edit_search_server	允许用户编辑常规分布式搜索设置，如超时、心跳和过滤器列表。			X
edit_server	允许用户编辑一般服务器设置，如服务器名称、日志级别等。			X
edit_server_crl	允许用户编辑服务器名称、日志级别等一般服务器设置。继承读取一般服务器和内省设置的能力。			X
edit_sourcetypes	允许用户编辑源类型。有关源类型的更多信息，请参阅知识管理器手册。		X	X
edit_splunktcp	允许用户更改设置以从另一个 Splunk 实例接收 TCP 输入。			X
edit_splunktcp_ssl	允许用户查看或编辑 Splunk TCP 输入的任何特定于 SSL 的设置。			X
edit_splunktcp_token	允许用户编辑 Splunktcp 令牌。			X
edit_tcp	允许用户更改接收一般 TCP 输入的设置。			X
edit_telemetry_settings	选择加入或退出产品检测。请参阅管理手册中的​在 Splunk Enterprise中共享数据。			X
edit_token_http	允许用户创建、编辑、显示和删除 HTTP 令牌输入的设置。还启用 HTTP 事件收集器功能。			X
edit_tokens_all	让用户向所有用户发行令牌。			X
edit_tokens_own	让用户向自己发行令牌。			X
edit_tokens_settings	让用户管理令牌设置。			X
edit_udp	允许用户更改 UDP 输入的设置。			X
edit_user	允许用户创建、编辑或删除用户。具有 edit_user 能力的角色可以将任何角色分配给其他用户。要限制此功能，请grantableRoles在 authorize.conf 中进行配置。例如：grantableRoles = role1;role2;role3。还允许用户管理用于分布式搜索的证书。 将此功能分配给低权限用户可以让该用户编辑任何其他用户，包括像管理员用户这样的高权限用户。			X
edit_view_html	允许用户创建、编辑或修改基于 HTML 的视图。			X
edit_web_settings	允许用户通过系统设置端点更改 web.conf 的设置。			X
edit_workload_pools	允许用户通过工作负载/池端点创建和编辑工作负载池。			X
edit_workload_rules	允许用户通过workloads/rules端点创建和编辑工作负载规则。			X
embed_report	允许用户嵌入报告并禁用嵌入式报告的嵌入。		X	X
export_results_is_visible	允许用户在 Splunk Web 中显示或隐藏“导出结果”按钮。 默认值是显示按钮。	X	X	X
fsh_manage	允许用户通过 Splunk Web 查看、创建和编辑联合提供程序和联合索引定义。联合搜索需要联合提供者和联合索引。			X
fsh_search	允许用户运行联合搜索。			X
get_diag	允许用户使用 /streams/diag 端点从 Splunk 实例获取远程诊断。			X
get_metadata	让用户使用“元数据”搜索处理器。	X	X	X
get_typeahead	允许用户在端点和 typeahead 搜索字段中使用 typeahead。	X	X	X
indexes_edit	允许用户更改任何索引设置，例如文件大小和内存限制。			X
input_file	允许用户通过 inputcsv（dispatch=t 模式除外）和 inputlookup 添加文件作为输入。	X	X	X
install_apps	允许用户安装、卸载、创建和更新应用程序。仅当您enable_install_apps在 中将设置配置为“true”时才适用authorize.conf。			X
license_edit	允许用户编辑许可证。			X
license_read	让用户访问许可证属性和相关信息。
license_tab	允许用户访问和更改许可证。此属性已弃用。			X
license_view_warnings	让用户在超出数据限制或达到许可证到期日期时看到警告消息。这些警告出现在系统横幅上。			X
list_accelerate_search	让用户查看加速报告。用户无法加速报告。			X
list_deployment_client	让用户查看部署客户端设置。			X
list_deployment_server	查看部署服务器设置。			X
list_dist_peer	让用户列出/读取分布式搜索的同行。			X
list_forwarders	允许用户列出和查看数据转发设置。可由 TCP 和 Syslog 输出管理处理程序使用。			X
list_health	允许用户通过 REST 端点监控 Splunk Enterprise 功能（例如输入、输出、集群等）的运行状况。			X
list_httpauths	允许用户通过 httpauth-tokens 端点查看用户会话。			X
list_indexer_cluster	允许用户查看索引器集群列表以及索引器集群对象，例如存储桶、对等点等。			X
list_indexerdiscovery	允许用户查看索引器发现的设置。也由索引器发现处理程序使用。			X
list_inputs	让用户查看各种输入的列表，包括来自文件、TCP、UDP、脚本等的输入。	X	X	X
list_introspection	让用户读取索引器、搜索、处理器、队列等的内省设置和统计信息。			X
list_metrics_catalog	允许用户查询指标目录信息列表，例如指标名称、维度和维度值。	X	X	X
list_search_head_clustering	允许用户列出和查看搜索头聚类对象，如工件、委派的工作、成员、队长等。			X
list_search_scheduler	让用户查看搜索调度程序作业的列表。			X
list_settings	让用户列出和查看服务器和内省设置，例如服务器名称、日志级别等。			X
list_storage_passwords	让用户列出和查看/storage/passwords端点，让用户执行 GET。必须将 admin_all_objects 功能添加到角色，以便用户对/storage/passwords端点执行 POST。			X
list_tokens_all	让用户查看所有令牌。			X
list_tokens_own	让用户查看他们自己的令牌。	X	X	X
list_workload_pools	允许用户从workloads/rules端点列出和查看工作负载池和工作负载状态信息。			X
list_workload_rules	允许用户从workloads/rules端点列出和查看工作负载规则信息。			X
metric_alerts	允许用户创建、更新、启用、禁用和删除流式指标警报。		X	X
never_expire	让用户帐户永不过期。			X
never_lockout	让用户帐户永远不会锁定用户。			X
output_file	允许用户创建文件输出，包括 outputcsv（dispatch=t 模式除外）和 outputlookup。	X	X	X
pattern_detect	允许用户查看和使用“搜索”视图中的“模式”选项卡。	X	X	X
request_remote_tok	让用户获得远程身份验证令牌，这让用户可以执行一些分布式对等管理和捆绑复制，并将搜索分发到旧的 4.0.x Splunk 实例。	X	X	X
rest_apps_management	允许用户在 python 远程应用程序处理程序中编辑条目和类别的设置。有关详细信息，请参阅 restmap.conf。			X
rest_apps_view	让用户在 Python 远程应用程序处理程序中列出和查看各种属性。restmap.conf有关详细信息， 请参阅。	X	X	X
rest_properties_get	允许用户从services/properties端点获取信息。	X	X	X
rest_properties_set	允许用户编辑端点services/properties。	X	X	X
restart_splunkd	允许用户通过服务器控制处理程序重新启动 Splunk Enterprise。			X
rtsearch	让用户运行实时搜索。		X	X
run_collect	让用户运行collect命令。	X	X	X
run_commands_ignoring_field_filter	允许用户运行某些命令来查看索引信息，即使为该用户的角色指定了基于角色的字段过滤器也是如此。某些命令可以查看索引中的某些敏感信息，而具有字段过滤器的角色不应访问这些信息。使用字段过滤器配置的角色需要此功能才能运行以下命令：walklex, typeahead, tstats, mstats, mpreview。		X	X
run_custom_command	允许用户运行自定义搜索命令。	X	X	X
run_dump	让用户运行dump搜索命令。	X	X	X
run_mcollect	让用户运行mcollect和meventcollect命令。	X	X	X
run_msearch	让用户运行msearch命令。			X
run_walklex	允许用户运行包含walklex命令的搜索，即使他们具有应用了搜索过滤器的角色。就其本质而言，该walklex命令会绕过基于角色的搜索过滤器。避免将此功能授予必须限制其搜索功能的角色。默认情况下，此功能未分配给任何角色。
run_sendalert	让用户运行sendalert搜索命令。	X	X	X
schedule_rtsearch	让用户安排实时保存的搜索。schedule_search 和 rtsearch 功能也必须分配给该角色。	X	X	X
schedule_search	允许用户安排保存的搜索、创建和更新警报、查看触发的警报信息以及使用命令sendemail。		X	X
search	让用户运行搜索。有关详细信息，请参阅搜索手册。	X	X	X
search_process_config_refresh	允许用户使用“refresh search-process-config”CLI 命令手动刷新空闲搜索进程。		X	X
select_workload_pools	允许用户将计划搜索或临时搜索分配给工作负载池。			X
srchFilter	让用户管理搜索过滤器。有关详细信息，请参阅搜索手册。			X
srchIndexesAllowed	让用户运行搜索索引。有关详细信息，请参阅搜索手册。			X
srchIndexesDefault	允许用户设置默认搜索索引。			X
srchJobsQuota	允许用户设置搜索作业配额。			X
srchMaxTime	允许用户设置搜索的最长时间。			X
upload_lookup_files	允许用户上传可与查找定义结合使用的文件。仅影响涉及文件上传的查找类型，例如 CSV 和地理空间查找。	X	X	X
use_file_operator	让用户使用“文件”搜索运算符。“文件”搜索运算符已弃用。			X
web_debug	允许用户调试 Web 文件。			X