Как скрыть часть сообщения в ELK?

Есть ли способ в ELK скрыть часть сообщения содержащее пароль? например изменение по регулярному выражению.

Знаю что можно сделать что-то в таком духе через фильтры логсташ
if [action] == "login" {
    mutate { remove_field => "secret" }
  }


Но хотелось бы что-то более серьёзное, чтобы оставить часть сообщения и убрать только пароль.
  • Вопрос задан
  • 16 просмотров
Решения вопроса 1
idskill
@idskill Автор вопроса
В общем в filter нужно добавить if по регулярке и через модуль mutate заменить регулярку внутри этого сообщения.

Пример:
if [message] =~ "statement: ((?i)alter|(?i)create) ((?i)user|(?i)role)" {
      mutate {
        gsub => [
          "message", "'.*'", "'******'"
        ]
      }
    }
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы