Как скрыть часть сообщения в ELK?

Есть ли способ в ELK скрыть часть сообщения содержащее пароль? например изменение по регулярному выражению.

Знаю что можно сделать что-то в таком духе через фильтры логсташ
if [action] == "login" {
    mutate { remove_field => "secret" }
  }


Но хотелось бы что-то более серьёзное, чтобы оставить часть сообщения и убрать только пароль.
  • Вопрос задан
  • 72 просмотра
Решения вопроса 1
idskill
@idskill Автор вопроса
В общем в filter нужно добавить if по регулярке и через модуль mutate заменить регулярку внутри этого сообщения.

Пример:
if [message] =~ "statement: ((?i)alter|(?i)create) ((?i)user|(?i)role)" {
      mutate {
        gsub => [
          "message", "'.*'", "'******'"
        ]
      }
    }
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
SpectrumData Екатеринбург
от 300 000 до 400 000 ₽
SpectrumData Екатеринбург
от 200 000 до 300 000 ₽
LIME Москва
от 280 000 до 350 000 ₽
06 нояб. 2024, в 00:20
1000 руб./за проект
06 нояб. 2024, в 00:03
40000 руб./за проект