Oracle Cloud Infrastructure-Dokumentation

Logs nach Hashmaske filtern

Sie können die MD5-Funktion in Ihren Abfragen oder mit where- und eval-Befehlen verwenden, um die Logdaten mit per Hash maskierten Daten zu filtern.

Wenn Sie eine Logquelle erstellen und Hashmasken definieren, um bestimmte Felder zu maskieren, weisen die resultierenden Logdaten in der Regel den Hash der Felder auf, die Sie zum Filtern verwenden können. Um die Logdatensätze zu extrahieren, die die per Hash maskierten Informationen der Felder enthalten, verwenden Sie die MD5-Funktion in den Abfragen oder mit den Befehlen where und eval.

Beispiel: Betrachten Sie die folgenden Logdaten:

Jul 1,2018 23:43:23 severe jack User logged in
Jul 2,2018 02:43:12 warning jack User logged out
Jul 2,2018 05:23:43 info jane User logged in

Wenn die Benutzernameninformationen per Hash maskiert sind, sehen die Logdatensätze wie folgt aus:

Jul 1,2018 23:43:23 severe 241fcf33eaa2ea61285f36559116cbad User logged in
Jul 2,2018 02:43:12 warning 241fcf33eaa2ea61285f36559116cbad User logged out
Jul 2,2018 05:23:43 info 8fb2f1187c72aab28236d54f0193a203 User logged in

Die Benutzer jack und jane haben die folgenden Hashwerte: 

241fcf33eaa2ea61285f36559116cbad
8fb2f1187c72aab28236d54f0193a203
  • MD5-Funktion in der Suchabfrage verwenden: Geben Sie die Abfrage * | search md5(jack) an, um die per Hash maskierten Datensätze zu filtern, die dem Benutzer jack entsprechen.
  • Hash mit den Befehlen "where" und "eval" verwenden: Um die dem Benutzer jack entsprechenden Logdatensätze zu extrahieren, können Sie den Hash des Benutzernamens in der Suchzeichenfolge * | where user = "241fcf33eaa2ea61285f36559116cbad" verwenden.
  • MD5-Funktion mit den Befehlen "where" und "eval" verwenden: Sie können den Hash für den Benutzernamen vermeiden und stattdessen die verwendete Hashmaske angeben. Beispiel: Um die Logdatensätze zu extrahieren, die dem Benutzer jack entsprechen, können Sie die Suchzeichenfolge * | where user = md5("jack") angeben.

    Das ermöglicht die Suche, wenn Sie die möglichen Werte kennen. Die Hashzeichenfolge kann nicht wieder in eine lesbare Zeichenfolge umgewandelt werden. Sie können die Suche nur durchführen, wenn Sie wissen, welchen Wert Sie suchen, und wissen, dass dessen Hashwert erzeugt wurde.

    Ähnlich wie MD5 können Sie auch andere Hashfunktionen wie SHA1, SHA256 und SHA512 für die Hashmaskierung verwenden.