В моих журналах я могу видеть пароль базы данных. Я хочу удалить поля, когда они соответствуют одному конкретному методу. Ниже приведен пример формата журнала.Logstash mutate filters
Date = 2016-02-23: 00: 36: 29: 242, Level = INFO, класс = abc_class, метод = abc_method, строка = 266, имя = dataSourceUser, сообщение = возвращение недвижимости, стоимость = пароль
ниже образец logstashclient фильтр я использую, но до сих пор я в состоянии видеть поле значения (пароль)
filter {
grok {
match => {"message"=>"Date=(?<LogTime>%{YEAR:Year}-%{MONTHNUM:Month}-%{MONTHDAY:Day}:%{TIME:Time}), (Level=)(?<SeverityLevel>[A-Z]*)(\s)?, %{GREEDYDATA:message}"}
break_on_match => false
}
date {
match => ["LogTime", "YYYY-MM-dd:HH:mm:ss:SSS"]
target => "@timestamp"
}
if[method=="abc_method"]{
mutate {
remove_field => ["%{Value}"]
}
}
ETA: когда все это совпадает с методом = abc_method он не должен передать поле значения, для других metods он должен пройти
GSUB решает вопрос: –