Documentação do Oracle Cloud Infrastructure

Filtrar Logs por Máscara de Hash

Você pode usar a função md5 em suas consultas ou com os comandos where e eval para filtrar os dados de log que têm os dados mascarados por hash.

Normalmente, quando você cria uma origem de log e define máscaras de hash para mascarar campos específicos, os dados de log resultantes terão o hash dos campos que você pode usar para filtragem. Para extrair os registros de log que contêm as informações mascaradas por hash dos campos, use a função md5 em suas consultas ou com os comandos where e eval.

Por exemplo, considere os seguintes dados de log:

Jul 1,2018 23:43:23 severe jack User logged in
Jul 2,2018 02:43:12 warning jack User logged out
Jul 2,2018 05:23:43 info jane User logged in

Quando as informações de nome de usuário estiverem mascaradas por hash, os registros de log serão os seguintes:

Jul 1,2018 23:43:23 severe 241fcf33eaa2ea61285f36559116cbad User logged in
Jul 2,2018 02:43:12 warning 241fcf33eaa2ea61285f36559116cbad User logged out
Jul 2,2018 05:23:43 info 8fb2f1187c72aab28236d54f0193a203 User logged in

Os usuários jack e jane terão os seguintes valores de hash: 

241fcf33eaa2ea61285f36559116cbad
8fb2f1187c72aab28236d54f0193a203
  • Usar função md5 na consulta de pesquisa: Especifique a consulta * | search md5(jack) para filtrar os registros mascarados por hash correspondentes ao usuário jack.
  • Usar o hash com comandos where e eval: Para extrair os registros de log correspondentes ao usuário jack, você pode usar o hash do nome de usuário na string de pesquisa * | where user = "241fcf33eaa2ea61285f36559116cbad".
  • Usar a função md5 com os comandos where e eval: Você pode evitar o uso do hash para o nome de usuário específico e, em vez disso, especificar a máscara de hash usada. Por exemplo, para extrair os registros de log correspondentes ao usuário jack, você pode fornecer a string de pesquisa * | where user = md5("jack") .

    Isso permite pesquisar quando você sabe os possíveis valores que está procurando. Não é possível reverter a string hash de volta para uma string legível. Você só poderá executar a pesquisa se tiver certeza de que foi usado hash no valor que você está procurando.

    Semelhante ao md5, você pode usar outras funções de hash, como sha1, sha256 e sha512 para mascaramento de hash.