有什么办法可以在 logstash 端屏蔽包含敏感信息的日志事件的一部分吗?
Is there any way we can mask a part of log-event containing sensitive information at the logstash end?
我有一些我不想完全显示的日志事件,因为它们可能包含一些敏感信息,有什么方法可以只屏蔽日志的敏感部分,同时保留日志的其余部分是通过 logstash 提供出现模式吗?
例如,我将以下日志事件作为文档:
"message" : "curl -u username:password http://example.com"
我希望将其存储为:
"message" : "curl -u XXXX:XXXX http://example.com"
目前,我正在使用 logstash drop {}
完全删除事件
你可以使用 mutate+gsub
mutate { gsub => [ "message", "-u [a-zA-Z0-9._-]+:[a-zA-Z0-9._-]+ ", "-u XXXX:XXXX " ] }
有关匿名化和假名化的更一般性讨论,请参阅 blog post 关于 GDPR。
我有一些我不想完全显示的日志事件,因为它们可能包含一些敏感信息,有什么方法可以只屏蔽日志的敏感部分,同时保留日志的其余部分是通过 logstash 提供出现模式吗?
例如,我将以下日志事件作为文档:
"message" : "curl -u username:password http://example.com"
我希望将其存储为:
"message" : "curl -u XXXX:XXXX http://example.com"
目前,我正在使用 logstash drop {}
你可以使用 mutate+gsub
mutate { gsub => [ "message", "-u [a-zA-Z0-9._-]+:[a-zA-Z0-9._-]+ ", "-u XXXX:XXXX " ] }
有关匿名化和假名化的更一般性讨论,请参阅 blog post 关于 GDPR。