Как скрыть часть сообщения в ELK?

Есть ли способ в ELK скрыть часть сообщения содержащее пароль? например изменение по регулярному выражению.

Знаю что можно сделать что-то в таком духе через фильтры логсташ
if [action] == "login" {
    mutate { remove_field => "secret" }
  }


Но хотелось бы что-то более серьёзное, чтобы оставить часть сообщения и убрать только пароль.
  • Вопрос задан
  • 74 просмотра
Решения вопроса 1
idskill
@idskill Автор вопроса
В общем в filter нужно добавить if по регулярке и через модуль mutate заменить регулярку внутри этого сообщения.

Пример:
if [message] =~ "statement: ((?i)alter|(?i)create) ((?i)user|(?i)role)" {
      mutate {
        gsub => [
          "message", "'.*'", "'******'"
        ]
      }
    }
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
SpectrumData Екатеринбург
от 300 000 до 400 000 ₽
LIME Москва
от 280 000 до 350 000 ₽
25 нояб. 2024, в 02:45
2000 руб./за проект
24 нояб. 2024, в 23:46
20000 руб./за проект