1.logstash实现敏感信息脱敏及超长字符截取

最新推荐文章于 2024-05-07 19:03:49 发布
最新推荐文章于 2024-05-07 19:03:49 发布
阅读量4.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: ELK 文章标签: logstash logstash脱敏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangchengaihuiming/article/details/89914587
通过filebeat收集的日志常未做敏感信息脱敏,且base64超长字符不处理会耗费存储和展示性能。可通过在logstash安装目录的config文件夹下新建logstash_to_es文件进行超长字符截取和敏感字段脱敏配置,还可设置text.rb作为敏感字段脱敏的ruby过滤条件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们通过filebeat收集的日志通常没有进行敏感信息的脱敏工作,以及一些base64超长字符如果不做处理,存储到es及在kibana展示也会耗费性能。
针对这两个问题我们可以进行如下配置:
1.设置超长字符截取
进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下:

filter {
if [type] == "filebeat" {
		grok {
		match => [
            		"message","%{LOGLEVEL:level}",
                    "message","%{DATA:message}"          
         	]
		}
		if [level] == "DEBUG" {
			drop { }
		}
		if[message]=~"ASPECT"{
			drop { }
		}
		if [message]=~"OVERLENGTH"{
			grok{
			match => {
				 "message" => "(?<MYELF>([\s\S]{500}))"  #截取带RAW-CONTENT关键字的日志500个字符 作为MYELF的值
			}
			}
			mutate {
			 rename => {"MYELF" => "message"}                                    #重命名字段MYELF为message
			}
		}
		if[message]=~"traceId"{
			grok {
				match => ["message","%{UUID:traceId}"]                            #自定义kibana筛选关键字
			}
		}
	}
}

2.敏感字段脱敏
进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下:

filter {
if [type] == "filebeat" {
	ruby {
              path => "/usr/local/logstash-6.0.1/config/text.rb"
                script_params => { "message" => "message" }
         }
}
}

text.rb也就是我们配置的敏感字段脱敏ruby的过滤条件。

def register(params)
         @message = params["message"]             # 通过params获取script_params传参
end

def filter(event)
	msg = event.get(@message)
	if(msg =~ /certNo:(.*)/)                                      # 获取日志中的关键字certNo
		cerNoExp = /(?<=certNo:)(\w{6})(\w{8})(\w{4})/
		cerNoExp =~ msg
		cerNoInFor = $2
		msg.gsub!(cerNoInFor, "******")
	end
	if(msg =~ /mobileNo:(.*)/)                                  # 获取日志中的关键字mobileNo
                mobileNoExp = /(?<=mobileNo:)(\w{3})(\w{4})(\w{4})/
                mobileNoExp =~ msg
                mobileNoInFor = $2
                msg.gsub!(mobileNoInFor, "****")
        end

	#event.set("msg", msg)
	return [event]	
end
logstash获取自定义日志字符串及切分字段
znice123的博客
08-04 4537
最近使用elk做应用审计的日志信息收集 1、定义应用输出格式 日志文件中如: 2020-06-27 09:25:01.458 [L:INFO] 11779 --- [io-8090-exec-55] n.e.s.m.d.d.P.insertSelective!selectKey :AD.scan|system|order|delete|2020-07-29|15:53|user1|success.AD 2、logstash中获取有用的字符串 通过grok脚本,截取需要的字符串存放在新建字段中 .
日志敏感信息脱敏处理
打代码是一天,不打代码也是一天
05-16 995
在维护的项目中,日志输出包含敏感信息,公司要求对其进行脱敏处理。为最小化改动,采用日志框架的自定义布局(Layout)方案,通过正则表达式匹配并替换敏感字段。具体实现包括新增一个脱敏类SensitiveDataPatternLayout.java,并修改日志配置文件logback.xml。脱敏类通过正则表达式对手机号、身份证、邮箱和银行卡号等敏感信息进行脱敏处理,确保日志输出时敏感信息被替换为星号。最终,日志输出格式保持不变,但敏感信息已得到有效保护。
logstash敏感信息脱敏
weixin_43815019的博客
05-07 531
关键字之后的内容替换为。
logstash截取指定字符和grok的使用
cai750415222的博客
01-23 2万+
logstash截取指定字符 由于项目原因有些日志打印出来之后,会在kibana中显示很不友好而且加载ES的时候也特别的忙,所有我想有没有办法可以让日志在kibana中展示的比较友好一点呢,于是找来很多相关的资料,种感觉有点差异,所有自己摸索的一点出来 在网上看到有很多种截取方式 有在filebeat中做过滤的 ,有在logstash中过滤的,这里我简单的说说logstash中的一些 我们用gro...
logstash利用grok截取字符中指定长度的内容
fengzhimohan的博客
10-29 5744
最近项目用到logstash,要求利用grok截取日志消息中某一指定长度的内容。 Logstatsh需要两个必需参数input、output,以及一个可选参数filter。input用于输入数据的设置,output用于输出数据的设置。filter实现数据过滤的设置。grok是在filter里面实现数据截取。 项目有一串协议消息如 7e8900000c040116432693324af001018...
logstash截取指定字符之前的字符串 正则表达式
记录程序的点点滴滴!
08-13 7692
例如:dsdsdsdadadsadada TJP 123213213 grok正则表达式:(?&lt;log_type&gt;(.*)(?=TJP)/?) 输出结果:log_type:"dsdsdsdadadsadada" Grok正则表达式调试地址:http://grokdebug.herokuapp.com/  ...
Chocolatey.logstash
02-12
巧克力包装:Logstash 描述 Logstash是用于管理事件和日志的工具。 一般使用时,该术语涵盖了更大的日志收集,处理,存储和搜索活动系统。 安装 choco install logstash 免责声明 这些Chocolatey软件包仅包含安装...
最新版linux logstash-7.16.3-linux-x86_64.tar.gz
01-14
bin目录下的logstash命令行工具用于启动和管理Logstash实例,config目录则存放配置文件,如logstash.yml和logstash.conf。你可以根据需求编辑配置文件,定义输入、过滤和输出插件,然后启动Logstash以开始处理数据。...
最新版linux logstash-7.9.3.tar.gz
10-26
Linux Logstash是一款强大的数据收集、处理和转发工具,广泛应用于日志管理和实时数据分析场景。它作为Elastic Stack(以前称为ELK Stack)的一部分,与Elasticsearch和Kibana一起,构建了一个完整的日志分析解决...
logstash-8.17.4-linux-x86-64.tar.gz
04-08
这些配置通常保存在一个名为logstash.conf的配置文件中。Logstash通过一个简单的命令行接口来启动,而用户可以为其指定配置文件的位置。 由于Logstash 8.17.4版本是特定于64位Linux系统的,因此在其他操作系统或32...
最新版windows logstash-7.17.6-windows-x86_64.zip
09-02
- 安全配置:考虑到 Logstash 处理的数据可能涉及敏感信息,确保使用 TLS/SSL 加密通信,限制不必要的网络暴露。 - 性能优化:根据实际工作负载调整配置,如批处理大小、线程数量等,以实现最佳性能。 - 定期更新...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
logstash字符串的split,对每个子串进行json解析
热门推荐
格物致知
08-16 3万+
最近遇到一个需求,大致是字符串用\t分割,每一个子串都是一个json串,需要用logstash对该字符串进行结构化处理,用于elasticsearch和可视化kibana。 字符串格式如下: {"person":{"age":"11"}} this is the sample该字符串期望分割成两个字段,并对第一个字段进行json解析。最终达到下面的形式:field1:{ field
Logstash filter 的使用
m0_56342013的博客
06-18 1269
Logstash filter 的使用
日志脱敏并通过 logstash-logback-encoder推送到日志平台
04-17 694
conversionRule是logback提供的一个配置选项,用来指定将日志事件中的特定属性或信息转换为特定格式输出。它可以自定义日志输出格式,使日志在输出时符合我们的预期conversionRule的作用范围是全局的,也就是说,一旦配置了conversionRule,所有使用这个转换规则的地方都会按照规则进行格式化输出。它可以被应用在日志输出的各个位置,如日志文件名、日志消息、日志级别等。
logstash判断是否匹配_Logstash 字符串的提取
weixin_39588104的博客
12-20 882
需求:比如 path => /wls/applogs/rtlog/icore-pts2SF2433/icore-pts2SF2433.out想提取icore-pts 与 icore-pts2SF2433/icore-pts2SF2433.out第一种方法:用grok 处理filter{grok{match=>["path","/wls/applogs/rtlog/(?[a-z]...
logstash解析JSON格式的字符串输入
qq_34295546的博客
08-21 1594
业务需求:输入为JSON字符串,JSON字符串的字段个数不确定,但知道最多可能会有哪些字段,顺序确定的,现在要提取其中的value值并以制表符分割,方便后续存储在HDFS中并便于hive建表: 示例输入: { "cjdid": "DZQ10012","rfidId": 21412341234123410,"passTime": 1530135600,"plateColor": "1",
Spring Boot 日志记录脱敏
wgq2020的博客
11-26 2138
在 Logback 中,我们可以使用Filter过滤器来对日志进行处理。我们可以自定义一个过滤器,对日志中的敏感信息进行脱敏处理。![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!
使用logback对系统产生的日志文件进行脱敏处理
qq_42077566的博客
09-08 5050
业务场景 开发中,对于打印出来的日志文件,涉及到敏感信息,类似银行卡,姓名,身份证等等,通常会根据需求进行关键词的隐藏,比如姓名:万旭会处理后在日志中显示:姓名:万*。这样的过程叫做日志关键词脱敏。 如下使用logback进行脱敏操作和配置。 配置枚举类 用来管理需要脱敏的关键词 public enum KeywordTypeEnum { /** * 真实姓名 */ TRUE_NAME("trueName","真实姓名"), /** * 身份证号码
通过logback的net.logstash.logback.encoder.LogstashEncoder将日志内容json化并记录时,@timestamp字段的时区不对,如何解决
最新发布
06-22
<think>我们面对的问题是:LogstashEncoder生成的@timestamp字段时区不正确。根据引用内容,我们使用的是logstash-logback-encoder库,版本为4.10(从引用[2]中可知)。在LogstashEncoder中,默认的@timestamp字段使用的是UTC时区,但我们的应用可能运行在其它时区,因此需要调整。解决方案思路:1.自定义一个TimestampProvider,覆盖默认的UTC时间,设置为我们需要的时区。2.在logback.xml配置文件中,配置LogstashEncoder,设置timestampProvider为我们自定义的类。具体步骤:步骤1:创建自定义的TimestampProvider我们可以实现`net.logstash.logback.encoder.com.lmax.disruptor.TimestampProvider`接口(注意:实际上在logstash-logback-encoder中,应该使用`net.logstash.logback.encoder.JsonProvider`相关的接口,但具体是哪个类?)。实际上,在logstash-logback-encoder中,有一个`net.logstash.logback.encoder.LogstashEncoder`类,它有一个设置时间戳提供者的方法。而时间戳提供者需要实现`com.fasterxml.jackson.databind.util.Provider`接口(但这里可能不是这样)。更准确地说,我们可以通过实现`net.logstash.logback.encoder.TimestampProvider`接口(注意包名)来提供自定义的时间戳。但是,查阅文档(由于无法直接查看文档,根据经验)我们知道,LogstashEncoder有一个`setTimestamp`方法可以设置一个字符串形式的时间格式,但这里我们想要改变时区。因此,我们可以通过自定义一个`TimestampProvider`来生成带有时区的时间戳。实际上,在logstash-logback-encoder的7.0版本之后,提供了更简便的方法(但我们的版本是4.10,所以需要查看4.10的文档)。在4.10版本中,我们可以通过以下方式:在logback.xml中,我们可以配置`<timeZone>`属性,但是LogstashEncoder本身并不直接支持这个属性。因此,我们需要自定义一个TimestampProvider。在4.10版本中,我们可以这样做:自定义TimestampProvider类:```javapackagecom.example.logging;importch.qos.logback.core.util.CachingDateFormatter;importnet.logstash.logback.encoder.com.lmax.disruptor.TimestampProvider;importjava.util.TimeZone;publicclassCustomTimestampProviderimplementsTimestampProvider{privatefinalCachingDateFormatterformatter;publicCustomTimestampProvider(){//设置时区,例如:Asia/Shanghaiformatter=newCachingDateFormatter("yyyy-MM-dd'T'HH:mm:ss.SSSXXX");formatter.setTimeZone(TimeZone.getTimeZone("Asia/Shanghai"));}@OverridepubliclonggetTimestamp(){returnSystem.currentTimeMillis();}publicStringgetTimestampAsString(){returnformatter.format(System.currentTimeMillis());}}```但是,请注意,LogstashEncoder默认使用的是`TimestampProvider`接口,该接口只有一个方法`longgetTimestamp()`,返回的是毫秒数。而实际上,LogstashEncoder在内部会将这个毫秒数转换为字符串,使用的是UTC时区。因此,仅仅实现这个接口并返回毫秒数并不能改变时区。我们需要改变LogstashEncoder生成时间字符串的方式。在LogstashEncoder中,有一个`timestamp`字段,我们可以通过设置一个带有特定时区的日期格式来覆盖默认的格式。因此,另一种方法是:在LogstashEncoder的配置中,直接指定时间格式和时区。在logback.xml中,我们可以这样配置:```xml<encoderclass="net.logstash.logback.encoder.LogstashEncoder"><!--设置时间戳字段的格式,并指定时区--><timestamp>%d{yyyy-MM-dd'T'HH:mm:ss.SSSXXX}{Asia/Shanghai}</timestamp>...其他配置...</encoder>```但是,根据logstash-logback-encoder的文档,`<timestamp>`元素可以接受一个日期模式和一个时区。因此,上述配置应该可以工作。然而,在4.10版本中,是否支持这样的配置?我们来看一下:在4.10版本的文档中(由于没有直接文档,但根据常见用法),我们可以尝试使用`<timestamp>`元素来设置格式和时区。所以,解决方案就是:在logback.xml中配置LogstashEncoder时,设置timestamp的格式并指定时区。示例配置:```xml<appendername="stash"class="net.logstash.logback.appender.LogstashTcpSocketAppender"><destination>localhost:5044</destination><encoderclass="net.logstash.logback.encoder.LogstashEncoder"><!--设置@timestamp字段的格式和时区--><timestamp>%d{yyyy-MM-dd'T'HH:mm:ss.SSSXXX}{Asia/Shanghai}</timestamp><!--其他配置--></encoder></appender>```这样,生成的@timestamp字段就会使用Asia/Shanghai时区。注意:日期模式中的`XXX`表示时区偏移(例如+08:00),这样生成的字符串会包含时区信息。而Logstash在接收时,如果配置正确,应该能够正确解析这个时间。如果上述配置不起作用,可能是因为版本问题。在较新的版本(如6.0以上)中,这种方式是可行的。对于4.10版本,我们可以查看其源码或文档,但根据经验,这种方式在4.10版本中也是支持的。另外,我们也可以考虑升级logstash-logback-encoder版本,以获取更好的支持。例如,引用[2]中使用的版本是4.10,而目前最新版本已经到7.0以上。如果升级版本,配置方式可能更简单,例如:在较新的版本中,可以直接设置时区:```xml<encoderclass="net.logstash.logback.encoder.LogstashEncoder"><timeZone>Asia/Shanghai</timeZone>...</encoder>```但是,在4.10版本中,没有直接的`<timeZone>`配置项,所以我们使用`<timestamp>`指定格式和时区的方式。因此,总结解决方案:1.在logback.xml中配置LogstashEncoder时,使用`<timestamp>`元素指定日期格式和时区,例如:`<timestamp>%d{yyyy-MM-dd'T'HH:mm:ss.SSSXXX}{Asia/Shanghai}</timestamp>`2.如果升级到较新版本(如6.0以上),则可以直接使用`<timeZone>`元素指定时区。根据引用内容,我们使用的是4.10版本,因此采用第一种方式。验证:确保生成的日志中@timestamp字段的时间与本地时间(例如Asia/Shanghai)一致。另外,需要注意的是,在Logstash的配置中,如果使用json_lines编解码器,它会解析时间戳字段。如果时间戳字符串中包含了时区信息(如+08:00),那么Logstash会正确解析时区。因此,在Logstash中不需要额外配置时区。如果问题仍然存在,请检查logback配置是否正确加载,以及时区字符串是否正确(例如,时区ID必须是标准的,如Asia/Shanghai,而不是CST等,因为CST可能代表多个时区)。如果应用部署在容器中(如Docker),还需要确保容器内的时区设置正确,但这里我们通过logback配置已经指定了时区,所以容器时区不影响日志的时间字符串。因此,推荐使用上述配置方式解决时区问题。如果用户的问题仍未解决,可能需要检查LogstashEncoder的配置是否被正确应用,或者是否有其他配置覆盖了@timestamp字段。相关问题:1.如何在logback中配置多个appender?2.LogstashEncoder还支持哪些自定义字段?3.如何升级logstash-logback-encoder的版本?4.Logstash中如何解析带有时区的日期字符串?5.如何确保Docker容器内的时区设置正确?</think>### LogstashEncoder @timestamp 时区问题解决方案 问题核心:LogstashEncoder 默认使用 UTC 时区生成 `@timestamp` 字段,导致日志时间与实际时间不符。以下是三种解决方案: #### 方案1:配置 LogstashEncoder 时区(推荐) 在 `logback.xml` 中直接指定时区: ```xml <appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>logstash-server:5044</destination> <encoder class="net.logstash.logback.encoder.LogstashEncoder"> <!-- 设置时区为东八区 --> <timeZone>Asia/Shanghai</timeZone> <!-- 可选:自定义时间格式 --> <timestampPattern>yyyy-MM-dd'T'HH:mm:ss.SSSXXX</timestampPattern> </encoder> </appender> ``` - `timeZone`:指定时区(如 `Asia/Shanghai`) - `timestampPattern`:`XXX` 表示时区偏移(如 `+08:00`) #### 方案2:自定义 TimestampProvider 创建自定义时间提供类: ```java public class CustomTimestampProvider implements TimestampProvider { @Override public long getTimestamp() { // 获取本地时区时间戳 return System.currentTimeMillis() + TimeUnit.HOURS.toMillis(8); // UTC+8 } } ``` 在配置中引用: ```xml <encoder class="net.logstash.logback.encoder.LogstashEncoder"> <timestampProvider>com.yourpackage.CustomTimestampProvider</timestampProvider> </encoder> ``` #### 方案3:Logstash 端时区转换 在 Logstash 配置中添加时区转换: ```ruby filter { date { match => [ "@timestamp", "ISO8601" ] target => "@timestamp" timezone => "Asia/Shanghai" # 强制转换时区 } } ``` ### 验证要点 1. **日志输出检查**:确认 `@timestamp` 值形如 `2023-10-01T12:00:00.000+08:00` 2. **依赖版本**:确保使用较新版本(logstash-logback-encoder ≥6.3)[^2] 3. **容器时区**:若部署在 Docker,需同步容器时区: ```dockerfile FROM openjdk:17 RUN ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime ``` > **关键提示**:方案1是最简洁的解决方案,90%的时区问题可通过 `<timeZone>` 配置解决。若问题仍存在,请检查日志输出格式是否包含时区偏移(如 `+08:00`),这表示时区设置已生效[^3]。 --- ### 相关问题 1. 如何在 Logback 中配置多个日志输出目标? 2. Logstash 如何处理不同来源的时区差异? 3. 如何自定义 LogstashEncoder 的字段映射规则? 4. 在 Docker 容器中如何永久设置时区? 5. Logback 如何实现日志内容的动态过滤? [^1]: logback LogstashEncoder elk 配置示例 [^2]: logstash-logback-encoder 依赖引入 [^3]: Logback 结构化日志实现原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值