帮助手册 散列和屏蔽日志数据

散列和屏蔽日志数据

散列和屏蔽可帮助您在将日志发送到 Site24x7 AppLogs 时隐藏敏感数据。

屏蔽日志数据

在将日志发送到 Site24x7 之前,您可以使用掩码规则隐藏敏感信息并防止将其发送到 Site24x7。您必须在正则表达式中配置要屏蔽为捕获组的表达式。您可以提供掩码字符串或选择使用默认值 (***)。

应用屏蔽或散列过滤器后计算日志许可。如果屏蔽减小了日志的大小,则在跟踪扫描的日志的总大小时将使用较小的大小。

考虑以下 Apache 访问日志示例:

209.85.238.199 - - [26/Oct/2021:10:05:15 +0000] "GET presentations/details?apiKey=877avjkj329082j30sf83s1&type=ppt HTTP/1.1" 200 1370 "-" "Feedfetcher-Google; (+http://www.google.com/feedfetcher.html; 1 subscribers; feed-id=11390274670024826467)"

在这里,您要屏蔽请求 URI 中的 apiKey 参数值 ( 877avjkj329082j30sf83s1 )。

您可以使用apiKey=(.*)&表达式,以便转发到 Site24x7 的日志如下所示:

209.85.238.199 - - [26/Oct/2021:10:05:15 +0000] "GET presentations/details?apiKey=***&type=ppt HTTP/1.1" 200 1370 "-" "Feedfetcher-Google; (+http://www.google.com/feedfetcher.html; 1 subscribers; feed-id=11390274670024826467)"
  • 如果要屏蔽字段中的完整数据,请在表达式中使用 (.*)。
  • 不要不必要地匹配比需要更多的日志。例如,不要使用以下表达式,因为它匹配的次数过多:
    GET\s[\w\/]*\?apiKey=(.*)&
  • 您可以指定多个捕获组。请注意,如果在一个过滤器中指定了多个捕获组,则每个值都将以相同的方式被屏蔽。因此,如果您为用户的电子邮件地址和手机号码创建一个过滤器,则两者都将替换为相同的掩码字符串。

哈希日志数据

散列类似于掩码;但是,表达式被替换为 MD5 哈希码,并且数据在发送到 Site24x7 之前完全隐藏。每个唯一值都有一个唯一的哈希码。您必须将要散列的表达式配置为正则表达式中的捕获组。

例如,考虑日志行:

209.85.238.199 - - [26/Oct/2021:10:05:15 +0000] "GET user/details?apiKey=877avjkj329082j30sf83s1&email=david@zylker.com HTTP/1.1" 200 1370 "-" "Feedfetcher-Google; (+http://www.google.com/feedfetcher.html; 1 subscribers; feed-id=11390274670024826467)"

在这里,您想要对请求 URI 中的电子邮件参数值 ( david@zylker.com ) 进行哈希处理。

您可以使用&email=(.*)\s表达式,转发到 Site24x7 的日志将如下所示:

209.85.238.199 - - [26/Oct/2021:10:05:15 +0000] "GET user/details?apiKey=877avjkj329082j30sf83s1&email=706e02761ac7b8e758695db3a69e2fc1 HTTP/1.1" 200 1370 "-" "Feedfetcher-Google; (+http://www.google.com/feedfetcher.html; 1 subscribers; feed-id=11390274670024826467)"
此外,您可以指定多个匹配组。如果指定了多个匹配组,每个值将被唯一地散列。
表达式:&email=(.*)&mobile=(.*)&

从 Site24x7 Web 客户端进行散列和日志记录

要将哈希和掩码规则应用于您的日志数据,请按照以下步骤操作:

  1. 登录到Site24x7
  2. 转到管理AppLogs>日志类型
  3. 单击所需的日志类型
  4. 从弹出的编辑日志类型屏幕转到字段配置
  5. 启用屏蔽:切换到以启用屏蔽。在正则表达式和掩码字符串中为要被掩码的数据提供掩码表达式作为捕获组。
  6. 启用散列:切换到以启用散列。提供散列表达式并将要散列的数据作为捕获组包含在正则表达式中。
  7. 单击应用
  8. 单击保存

Site24x7 将根据您的配置开始接收散列和屏蔽的日志数据。

Masking and hashing logs

帮助手册 Hashing and Masking Log Data