Задать вопрос
idskill
@idskill
elasticsearch

Как скрыть часть сообщения в ELK?

Есть ли способ в ELK скрыть часть сообщения содержащее пароль? например изменение по регулярному выражению.

Знаю что можно сделать что-то в таком духе через фильтры логсташ
if [action] == "login" {
    mutate { remove_field => "secret" }
  }


Но хотелось бы что-то более серьёзное, чтобы оставить часть сообщения и убрать только пароль.
  • Вопрос задан
  • 72 просмотра
Комментировать
Подписаться 1 Средний Комментировать
Решения вопроса 1
idskill
@idskill Автор вопроса
В общем в filter нужно добавить if по регулярке и через модуль mutate заменить регулярку внутри этого сообщения.

Пример:
if [message] =~ "statement: ((?i)alter|(?i)create) ((?i)user|(?i)role)" {
      mutate {
        gsub => [
          "message", "'.*'", "'******'"
        ]
      }
    }
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Senior Golang Developer (офис)
SpectrumData Екатеринбург
от 300 000 до 400 000 ₽
Middle Golang Developer (офис)
SpectrumData Екатеринбург
от 200 000 до 300 000 ₽
Developer 1C e-com
LIME Москва
от 280 000 до 350 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Оптимизация ботов телеграм
06 нояб. 2024, в 00:20
1000 руб./за проект
Смарт-контракт на блокчейне TON
06 нояб. 2024, в 00:03
40000 руб./за проект
Ручное тестирование приложения в сторах (iOS и Android)
05 нояб. 2024, в 23:19
3000 руб./за проект
Ещё заказы