Задать вопрос
idskill
@idskill
elasticsearch

Как скрыть часть сообщения в ELK?

Есть ли способ в ELK скрыть часть сообщения содержащее пароль? например изменение по регулярному выражению.

Знаю что можно сделать что-то в таком духе через фильтры логсташ
if [action] == "login" {
    mutate { remove_field => "secret" }
  }


Но хотелось бы что-то более серьёзное, чтобы оставить часть сообщения и убрать только пароль.
  • Вопрос задан
  • 74 просмотра
Комментировать
Подписаться 1 Средний Комментировать
Решения вопроса 1
idskill
@idskill Автор вопроса
В общем в filter нужно добавить if по регулярке и через модуль mutate заменить регулярку внутри этого сообщения.

Пример:
if [message] =~ "statement: ((?i)alter|(?i)create) ((?i)user|(?i)role)" {
      mutate {
        gsub => [
          "message", "'.*'", "'******'"
        ]
      }
    }
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Senior Golang Developer (офис)
SpectrumData Екатеринбург
от 300 000 до 400 000 ₽
PHP Laravel разработчик
Сlivetor
от 2 500 до 3 500 $
Developer 1C e-com
LIME Москва
от 280 000 до 350 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сделать простой лендинг
25 нояб. 2024, в 02:45
2000 руб./за проект
Изображения на главную страницу в стиле Jetton и 1вин
25 нояб. 2024, в 00:22
12000 руб./за проект
Дизайн презентации
24 нояб. 2024, в 23:46
20000 руб./за проект
Ещё заказы