Vous pouvez utiliser la fonction MD5 dans vos requêtes, ou avec des commandes where et eval pour filtrer les données de journal contenant les données masquées par hachage.

En règle générale, lorsque vous créez une source de journal et que vous définissez des masques de hachage pour masquer des champs spécifiques, les données de journal obtenues comportent le hachage des champs que vous pouvez utiliser pour le filtrage. Pour extraire les enregistrements de journal contenant les informations masquées par hachage des champs, utilisez la fonction MD5 dans vos requêtes, ou avec les commandes where et eval.

Par exemple, prenons les données de journal suivantes :

Jul 1,2018 23:43:23 severe jack User logged in
Jul 2,2018 02:43:12 warning jack User logged out
Jul 2,2018 05:23:43 info jane User logged in

Lorsque les informations de nom utilisateur sont masquées par hachage, les enregistrements de journal sont les suivants :

Jul 1,2018 23:43:23 severe 241fcf33eaa2ea61285f36559116cbad User logged in
Jul 2,2018 02:43:12 warning 241fcf33eaa2ea61285f36559116cbad User logged out
Jul 2,2018 05:23:43 info 8fb2f1187c72aab28236d54f0193a203 User logged in

Pour les utilisateurs jack et jane, les valeurs de hachage sont les suivantes :

241fcf33eaa2ea61285f36559116cbad
8fb2f1187c72aab28236d54f0193a203

• Utiliser la fonction MD5 dans la requête de recherche : indiquez la requête * | search md5(jack) pour filtrer les enregistrements masqués par hachage correspondant à l'utilisateur jack.
• Utiliser le hachage avec les commandes where et eval : pour extraire les enregistrements de journal correspondant à l'utilisateur jack, vous pouvez employer le hachage du nom utilisateur dans la chaîne de recherche * | where user = "241fcf33eaa2ea61285f36559116cbad".
• Utiliser la fonction MD5 avec les commandes where et eval : vous pouvez éviter d'utiliser le hachage pour le nom utilisateur concerné et indiquer, à la place, le masque de hachage employé. Par exemple, pour extraire les enregistrements de journal correspondant à l'utilisateur jack, vous pouvez fournir la chaîne de recherche * | where user = md5("jack") .

  Vous pouvez ainsi effectuer une recherche lorsque vous connaissez les valeurs possibles que vous recherchez. Il est impossible de revenir d'une chaîne de hachage à une chaîne lisible. Vous pouvez uniquement effectuer la recherche si vous savez que la valeur recherchée a été hachée.

  Vous pouvez utiliser des fonctions de hachage semblables à MD5, telles que SHA1, SHA256 et SHA512 pour le masquage par hachage.