Filtrer les journaux par masque de hachage

Vous pouvez utiliser la fonction md5 dans vos interrogations ou avec des commandes where et eval pour filtrer les données de journal contenant des données masquées par hachage.

En général, lorsque vous créez une source de journaux et définissez des masques de hachage pour masquer des champs spécifiques, les données de journaux résultantes contiennent le hachage des champs que vous pouvez utiliser pour le filtrage. Pour extraire les enregistrements de journal qui contiennent des informations masquées par hachage des champs, utilisez la fonction md5 dans vos interrogations ou avec des commandes where et eval.

Prenons l'exemple des données de journal suivantes :

Jul 1,2018 23:43:23 severe jack User logged in
Jul 2,2018 02:43:12 warning jack User logged out
Jul 2,2018 05:23:43 info jane User logged in

Lorsque les informations de nom d'utilisateur sont masquées par hachage, les enregistrements de journal sont les suivants :

Jul 1,2018 23:43:23 severe 241fcf33eaa2ea61285f36559116cbad User logged in
Jul 2,2018 02:43:12 warning 241fcf33eaa2ea61285f36559116cbad User logged out
Jul 2,2018 05:23:43 info 8fb2f1187c72aab28236d54f0193a203 User logged in

Les utilisateurs jack et jane auront les valeurs de hachage suivantes :

241fcf33eaa2ea61285f36559116cbad
8fb2f1187c72aab28236d54f0193a203

• Utiliser la fonction md5 dans votre interrogation de recherche : Spécifiez l'interrogation * | search md5(jack) pour filtrer les enregistrements masqués par hachage correspondant à l'utilisateur jack.
• Utiliser le hachage avec les commandes where et eval : Pour extraire les enregistrements de journal correspondant à l'utilisateur jack, vous pouvez utiliser le hachage du nom d'utilisateur dans la chaîne de recherche * | where user = "241fcf33eaa2ea61285f36559116cbad".
• Utiliser la fonction md5 avec les commandes where et eval : Vous pouvez éviter d'utiliser le hachage pour le nom d'utilisateur spécifique et plutôt spécifier le masque de hachage utilisé. Par exemple, pour extraire les enregistrements de journal correspondant à l'utilisateur jack, vous pouvez fournir la chaîne de recherche * | where user = md5("jack") .

  Vous pouvez ainsi effectuer une recherche lorsque vous connaissez les valeurs possibles que vous recherchez. Il n'est pas possible d'inverser la chaîne de hachage en une chaîne lisible. Vous ne pouvez effectuer la recherche que si vous connaissez la valeur que vous recherchez et que vous savez qu'elle a été hachée.

  Comme pour md5, vous pouvez utiliser d'autres fonctions de hachage telles que sha1, sha256 et sha512 pour le masquage de hachage.