1.logstash实现敏感信息脱敏及超长字符截取

最新推荐文章于 2024-05-07 19:03:49 发布
最新推荐文章于 2024-05-07 19:03:49 发布
阅读量4.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: ELK 文章标签: logstash logstash脱敏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangchengaihuiming/article/details/89914587
通过filebeat收集的日志常未做敏感信息脱敏,且base64超长字符不处理会耗费存储和展示性能。可通过在logstash安装目录的config文件夹下新建logstash_to_es文件进行超长字符截取和敏感字段脱敏配置,还可设置text.rb作为敏感字段脱敏的ruby过滤条件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们通过filebeat收集的日志通常没有进行敏感信息的脱敏工作,以及一些base64超长字符如果不做处理,存储到es及在kibana展示也会耗费性能。
针对这两个问题我们可以进行如下配置:
1.设置超长字符截取
进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下:

filter {
if [type] == "filebeat" {
		grok {
		match => [
            		"message","%{LOGLEVEL:level}",
                    "message","%{DATA:message}"          
         	]
		}
		if [level] == "DEBUG" {
			drop { }
		}
		if[message]=~"ASPECT"{
			drop { }
		}
		if [message]=~"OVERLENGTH"{
			grok{
			match => {
				 "message" => "(?<MYELF>([\s\S]{500}))"  #截取带RAW-CONTENT关键字的日志500个字符 作为MYELF的值
			}
			}
			mutate {
			 rename => {"MYELF" => "message"}                                    #重命名字段MYELF为message
			}
		}
		if[message]=~"traceId"{
			grok {
				match => ["message","%{UUID:traceId}"]                            #自定义kibana筛选关键字
			}
		}
	}
}

2.敏感字段脱敏
进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下:

filter {
if [type] == "filebeat" {
	ruby {
              path => "/usr/local/logstash-6.0.1/config/text.rb"
                script_params => { "message" => "message" }
         }
}
}

text.rb也就是我们配置的敏感字段脱敏ruby的过滤条件。

def register(params)
         @message = params["message"]             # 通过params获取script_params传参
end

def filter(event)
	msg = event.get(@message)
	if(msg =~ /certNo:(.*)/)                                      # 获取日志中的关键字certNo
		cerNoExp = /(?<=certNo:)(\w{6})(\w{8})(\w{4})/
		cerNoExp =~ msg
		cerNoInFor = $2
		msg.gsub!(cerNoInFor, "******")
	end
	if(msg =~ /mobileNo:(.*)/)                                  # 获取日志中的关键字mobileNo
                mobileNoExp = /(?<=mobileNo:)(\w{3})(\w{4})(\w{4})/
                mobileNoExp =~ msg
                mobileNoInFor = $2
                msg.gsub!(mobileNoInFor, "****")
        end

	#event.set("msg", msg)
	return [event]	
end
SpringBoot + Logback 实现日志脱敏【手把手案例】
甘蓝的专栏
05-20 285
在SpringBoot + MyBatis + MySQL + Logback框架中,使用MySQL的AES_DECRYPT()和AES_ENCRYPT()函数时,由于日志级别设置为debug,导致执行的SQL语句被打印出来,暴露了AES秘钥,存在安全隐患。为了解决这一问题,可以通过自定义Logback的转换器来实现SQL日志中秘钥的脱敏处理。
使用logback对系统产生的日志文件进行脱敏处理
qq_42077566的博客
09-08 5051
业务场景 开发中,对于打印出来的日志文件,涉及到敏感信息,类似银行卡,姓名,身份证等等,通常会根据需求进行关键词的隐藏,比如姓名:万旭会处理后在日志中显示:姓名:万*。这样的过程叫做日志关键词脱敏。 如下使用logback进行脱敏操作和配置。 配置枚举类 用来管理需要脱敏的关键词 public enum KeywordTypeEnum { /** * 真实姓名 */ TRUE_NAME("trueName","真实姓名"), /** * 身份证号码
logstash获取自定义日志字符串及切分字段
znice123的博客
08-04 4537
最近使用elk做应用审计的日志信息收集 1、定义应用输出格式 日志文件中如: 2020-06-27 09:25:01.458 [L:INFO] 11779 --- [io-8090-exec-55] n.e.s.m.d.d.P.insertSelective!selectKey :AD.scan|system|order|delete|2020-07-29|15:53|user1|success.AD 2、logstash中获取有用的字符串 通过grok脚本,截取需要的字符串存放在新建字段中 .
logstash敏感信息脱敏
weixin_43815019的博客
05-07 531
关键字之后的内容替换为。
logstash截取指定字符和grok的使用
cai750415222的博客
01-23 2万+
logstash截取指定字符 由于项目原因有些日志打印出来之后,会在kibana中显示很不友好而且加载ES的时候也特别的忙,所有我想有没有办法可以让日志在kibana中展示的比较友好一点呢,于是找来很多相关的资料,种感觉有点差异,所有自己摸索的一点出来 在网上看到有很多种截取方式 有在filebeat中做过滤的 ,有在logstash中过滤的,这里我简单的说说logstash中的一些 我们用gro...
logstash利用grok截取字符中指定长度的内容
fengzhimohan的博客
10-29 5744
最近项目用到logstash,要求利用grok截取日志消息中某一指定长度的内容。 Logstatsh需要两个必需参数input、output,以及一个可选参数filter。input用于输入数据的设置,output用于输出数据的设置。filter实现数据过滤的设置。grok是在filter里面实现数据截取。 项目有一串协议消息如 7e8900000c040116432693324af001018...
logstash截取指定字符之前的字符串 正则表达式
记录程序的点点滴滴!
08-13 7692
例如:dsdsdsdadadsadada TJP 123213213 grok正则表达式:(?&lt;log_type&gt;(.*)(?=TJP)/?) 输出结果:log_type:"dsdsdsdadadsadada" Grok正则表达式调试地址:http://grokdebug.herokuapp.com/  ...
【扣子工作流用户权限管理】
# 1. 扣子工作流概述及权限管理的重要性 随着企业业务的数字化转型,工作流程管理系统(如扣子工作流)逐渐成为企业日常运营不可或缺的组成部分。本章将概述扣子工作流的基本架构,并着重强调权限管理在保障企业...
C#性能优化:***应用中的日志记录技巧大揭秘
# 1. C#性能优化概述 性能优化始终是软件开发中不可或缺的一环,特别是对于资源密集型的应用程序来说。在C#开发中,理解如何系统地优化性能不仅能够提升应用运行的效率,还能改善用户体验,并在很大程度上减少因...
智业HIS平台API管理宝典:构建开放医疗服务接口的最佳实践
随着医疗信息化的发展,智业HIS平台API作为连接各种医疗系统和服务的关键技术,日益受到重视。本文首先提供了智业HIS平台API的技术概览,随后系统地介绍了医疗服务API的理论基础,包括API设计原则、安全理论以及性能...
【日志数据清洗与预处理】:tc itk日志数据前处理的实战技巧
![【日志数据清洗与预处理】:tc itk日志数据前处理的实战技巧]... # 摘要 日志数据是系统运维和故障分析中的关键信息来源。本文首先介绍了日志数据清洗与预处理的重要性及基本分析方法,然后深入探讨了
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
logstash字符串的split,对每个子串进行json解析
热门推荐
格物致知
08-16 3万+
最近遇到一个需求,大致是字符串用\t分割,每一个子串都是一个json串,需要用logstash对该字符串进行结构化处理,用于elasticsearch和可视化kibana。 字符串格式如下: {"person":{"age":"11"}} this is the sample该字符串期望分割成两个字段,并对第一个字段进行json解析。最终达到下面的形式:field1:{ field
Logstash filter 的使用
m0_56342013的博客
06-18 1269
Logstash filter 的使用
日志脱敏并通过 logstash-logback-encoder推送到日志平台
04-17 695
conversionRule是logback提供的一个配置选项,用来指定将日志事件中的特定属性或信息转换为特定格式输出。它可以自定义日志输出格式,使日志在输出时符合我们的预期conversionRule的作用范围是全局的,也就是说,一旦配置了conversionRule,所有使用这个转换规则的地方都会按照规则进行格式化输出。它可以被应用在日志输出的各个位置,如日志文件名、日志消息、日志级别等。
logstash判断是否匹配_Logstash 字符串的提取
weixin_39588104的博客
12-20 882
需求:比如 path => /wls/applogs/rtlog/icore-pts2SF2433/icore-pts2SF2433.out想提取icore-pts 与 icore-pts2SF2433/icore-pts2SF2433.out第一种方法:用grok 处理filter{grok{match=>["path","/wls/applogs/rtlog/(?[a-z]...
logstash解析JSON格式的字符串输入
qq_34295546的博客
08-21 1595
业务需求:输入为JSON字符串,JSON字符串的字段个数不确定,但知道最多可能会有哪些字段,顺序确定的,现在要提取其中的value值并以制表符分割,方便后续存储在HDFS中并便于hive建表: 示例输入: { "cjdid": "DZQ10012","rfidId": 21412341234123410,"passTime": 1530135600,"plateColor": "1",
Spring Boot 日志记录脱敏
wgq2020的博客
11-26 2138
在 Logback 中,我们可以使用Filter过滤器来对日志进行处理。我们可以自定义一个过滤器,对日志中的敏感信息进行脱敏处理。![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!
ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch
weixin_30402343的博客
05-13 1865
问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里。假定需求如下: Logstash收集到的日志字段message的值是由多个字段拼接而成的,分隔符是;,;,如下: { "message": "key_1=value_1;,;key_2=value_2" } 现在想要将message的值拆...
通过logback的net.logstash.logback.encoder.LogstashEncoder将日志内容json化并记录时,@timestamp字段的时区不对,如何解决
最新发布
06-22
具体步骤:步骤1:创建自定义的TimestampProvider我们可以实现`net.logstash.logback.encoder.com.lmax.disruptor.TimestampProvider`接口(注意:实际上在logstash-logback-encoder中,应该使用`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值