如何从Splunk UI中的日志文件中屏蔽秘密值?

时间:2019-09-09 07:54:43

标签: splunk splunk-query

我的日志进入Splunk UI中的/ var / logs / messages文件。现在,每当日志出现时,它也会发送秘密和访问密钥。我想用AWS_SECRET_ACCESS_KEY= gjhsagd#########之类的东西掩盖秘密和访问密钥。我们如何在SPLUNK UI中更新值。

1 个答案:

答案 0 :(得分:3)

在索引器(或重型转发器,如果​​正在使用)上,您需要在props.conf

中添加以下内容 
SEDCMD-awskey = s/AWS_SECRET_ACCESS_KEY=\s+/AWS_SECRET_ACCESS_KEY=###/g

或者,您可以结合使用props.conftransforms.conf

props.conf 

[aws*]
TRANSFORMS-awskey = awssecretkey

transforms.conf 

[ticket-awssecretkey]
REGEX = (?m)^(.*)AWS_SECRET_ACCESS_KEY=\s+(.*)$
FORMAT = $1AWS_SECRET_ACCESS_KEY=########$2
DEST_KEY = _raw

更多详细信息和示例,请访问https://docs.splunk.com/Documentation/Splunk/7.3.1/Data/Anonymizedata

相关问题
最新问题