Documentación de Oracle Cloud Infrastructure

Filtrado de logs por máscara de hash

Puede utilizar la función md5 en las consultas o con los comandos where y eval para filtrar los datos del log que tengan los datos hash enmascarados.

Normalmente, al crear un origen de log y definir máscaras hash para enmascarar campos específicos, los datos de log resultantes tendrán el hash de los campos que puede utilizar para filtrar. Para extraer los registros de log que contienen la información hash enmascarada de los campos, utilice la función md5 en las consultas o con los comandos where y eval.

Por ejemplo, tenga en cuenta los siguientes datos de log:

Jul 1,2018 23:43:23 severe jack User logged in
Jul 2,2018 02:43:12 warning jack User logged out
Jul 2,2018 05:23:43 info jane User logged in

Cuando la información de nombre de usuario está enmascarada por hash, los registros de log serán los siguientes:

Jul 1,2018 23:43:23 severe 241fcf33eaa2ea61285f36559116cbad User logged in
Jul 2,2018 02:43:12 warning 241fcf33eaa2ea61285f36559116cbad User logged out
Jul 2,2018 05:23:43 info 8fb2f1187c72aab28236d54f0193a203 User logged in

Los usuarios jack y jane tendrán los siguientes valores hash: 

241fcf33eaa2ea61285f36559116cbad
8fb2f1187c72aab28236d54f0193a203
  • Usar función md5 en la consulta de búsqueda: especifique la consulta * | search md5(jack) para filtrar los registros hash enmascarados correspondientes al usuario jack.
  • Usar el hash con los comandos where y eval: para extraer los registros de log correspondientes al usuario jack, puede utilizar el hash del nombre de usuario en la cadena de búsqueda * | where user = "241fcf33eaa2ea61285f36559116cbad".
  • Usar la función md5 con los comandos where y eval: puede evitar el uso del hash para el nombre de usuario específico y, en su lugar, especificar la máscara de hash utilizada. Por ejemplo, para extraer los registros de log correspondientes al usuario jack, puede proporcionar la cadena de búsqueda * | where user = md5("jack") .

    Esto le permite buscar cuando conozca los posibles valores que está buscando. No es posible revertir la cadena hash de nuevo en una cadena legible. Solo puede realizar la búsqueda si resulta que sabe qué valor está buscando que sepa que tiene aplicado un hash.

    De forma similar a md5, puede utilizar otras funciones hash como sha1, sha256 y sha512 para el enmascaramiento de hash.