Documentazione dell'infrastruttura Oracle Cloud

Filtra log per maschera hash

È possibile utilizzare la funzione md5 nelle query o con i comandi where e eval per filtrare i dati di log che contengono i dati hash mascherati.

In genere, quando si crea un'origine log e si definiscono maschere hash per mascherare campi specifici, i dati di log risultanti avranno l'hash dei campi che è possibile utilizzare per filtrare. Per estrarre i record di log che contengono le informazioni hash mascherate dei campi, utilizzare la funzione md5 nelle query o con i comandi where e eval.

Considerare ad esempio i dati di log seguenti:

Jul 1,2018 23:43:23 severe jack User logged in
Jul 2,2018 02:43:12 warning jack User logged out
Jul 2,2018 05:23:43 info jane User logged in

Quando le informazioni sul nome utente vengono mascherate in hash, i record di log saranno i seguenti:

Jul 1,2018 23:43:23 severe 241fcf33eaa2ea61285f36559116cbad User logged in
Jul 2,2018 02:43:12 warning 241fcf33eaa2ea61285f36559116cbad User logged out
Jul 2,2018 05:23:43 info 8fb2f1187c72aab28236d54f0193a203 User logged in

Gli utenti jack e jane avranno i seguenti valori hash: 

241fcf33eaa2ea61285f36559116cbad
8fb2f1187c72aab28236d54f0193a203
  • Utilizzare la funzione md5 nella query di ricerca: specificare la query * | search md5(jack) per filtrare i record mascherati hash corrispondenti all'utente jack.
  • Utilizzare l'hash con i comandi where ed eval: per estrarre i record di log corrispondenti all'utente jack, è possibile utilizzare l'hash del nome utente nella stringa di ricerca * | where user = "241fcf33eaa2ea61285f36559116cbad".
  • Utilizzare la funzione md5 con i comandi where ed eval: è possibile evitare di utilizzare l'hash per il nome utente specifico e specificare invece la maschera hash utilizzata. Ad esempio, per estrarre i record di log corrispondenti all'utente jack, è possibile fornire la stringa di ricerca * | where user = md5("jack") .

    Ciò consente di eseguire ricerche quando si conoscono i valori possibili che si stanno cercando. Non è possibile invertire la stringa hash in una stringa leggibile. Puoi eseguire la ricerca solo se ti capita di sapere quale valore stai cercando che conosci lavato.

    Analogamente a md5, è possibile utilizzare altre funzioni hash come sha1, sha256 e sha512 per il mascheramento degli hash.