ログに含まれる機密データをハッシュ化またはマスクする (難読化)

あなたは、そのサービスから来るすべてのログに以下の難読化アクションを適用することを決定します。

• HASH messageおよびcreditCardNumber属性に存在するクレジットカード番号。
• MASK message属性に存在する誕生日。
• HASH messageおよびssn属性に存在する社会保障番号。

まず、この機密情報を取得するための難読化表現をいくつか定義する必要があります。

{
  "name": "Credit Card Number",
  "regex": "(d{4}-d{4}-d{4}-d{4})"
}

{
  "name": "Social Security Number",
  "regex": "(d{3}-d{2}-d{4})"
}

{
  "name": "Born date - loginService specific",
  "regex": "born on (.*))"
}

各難読化表現は、文字列から機密情報を取り出す方法を定義し（正規表現を使用）、後で簡単に識別できるように、いくつかのフレンドリーな名前に関連付けます。

難読化式は再利用可能です。機密データを含むログ属性の命名方法に完全に依存しません。たとえば、上記で定義された社会保障式は、 ssn 、 socialSecurityNumber 、またはsocSecNumという名前のログ属性に適用できます。

ただし、それでも、ログ属性の形式と緊密に結合された再利用不可能な難読化式（ Born date (loginService specific)など）を作成できます。たとえば、 born onとbeforeの後に続くものは何でも使用できます。

機密データをキャプチャする方法を定義したので、どのログを難読化する必要があるか（ログインサービスのもの）、そしてどのように難読化するか（定義した難読化アクションを使用）を指定する必要があります。これを実現するために、難読化ルールを定義します。

{
  "name": "Obfuscate Login Service Logs",
  "filter": "serviceName = 'loginService' AND department = 'sales'",
  "actions": [
    {
      "attributes": ["message", "creditCardNumber"],
      "expression": { "name": "Credit Card Number" },
      "method": "HASH_SHA256"
    },
    {
      "attributes": ["message"],
      "expression": { "name": "Born date - loginService specific" },
      "method": "MASK"
    },
    {
      "attributes": ["message", "ssn"],
      "expression": { "name": "Social Security Number" },
      "method": "HASH_SHA256"
    }
  ]
}

このルールは主に3つの要素で構成されています。

最後の例として、属性serviceName = checkoutServiceとクレジットカード情報を含むccn属性を持つ「CheckoutService」という名前の別のサービスからのログを難読化する必要があると想像してください。

{
  "message": "Order completed",
  "ccn": "4321-5678-9876-2345",
  "department": "sales",
  "serviceName": "checkoutService"
}

このサービスからのログを難読化するには、これらの特定のログを対象とする別の難読化ルールを定義するだけでよく、以前に作成したCredit card number難読化式を再利用するだけです。

{
  "name": "Obfuscate Checkout Service Logs",
  "filter": "serviceName = 'checkoutService' AND department = 'sales'",
  "actions": [
    {
      "attributes": ["ccn"],
      "expression": { "name": "Credit Card Number" },
      "method": "HASH_SHA256"
    }
  ]
}

これらのオプションのいずれかを使用して、難読化式を作成します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。

2. Create regex をクリックします。

3. 新しい難読化ルールの名前と、キャプチャしたい機密データに一致する正規表現を入力します。 RE2 構文 を使用します。

   次の例は、クレジットカード番号にマッチする基本的な難読化表現を示しています。

   

   ナードグラフを使って

   logConfigurationsの下にあるlogConfigurationsCreateObfuscationExpressionミューテーターを使用します。 GraphiQLに入力された例と、api.newrelic.com/ graphiqlの関連ドキュメントを参照してください。

   重要

   NerdGraphを介して導入する場合は、 regexをエスケープする必要があります。 (\\d{4}-\\d{4}-\\d{4}-\\d{4})

難読化式を照会するには、これらのオプションのいずれかを使用します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。

2. Expressions タブを選択すると、利用可能なすべての難読化表現とその定義が表示されます。

   ナードグラフを使って

   actor.account.logConfigurationsの下にあるobfuscationExpressionsフェッチャーを使用します。 GraphiQLに入力された例と、api.newrelic.com/graphiqlの関連ドキュメントを参照してください。

難読化表現を更新するには、これらのオプションのいずれかを使用します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。

2. Expressions タブを選択します。

3. 編集したい難読化表現右側の3点メニュー ... をクリックし、 Edit をクリックします。

4. 必要に応じてフィールドを修正し、 更新 をクリックします。

   ナードグラフを使って

   logConfigurationsの下にあるlogConfigurationsUpdateObfuscationExpressionミューテーターを使用します。 GraphiQLに入力された例と、api.newrelic.com/graphiqlの関連ドキュメントを参照してください。

   重要

   NerdGraphを介して導入する場合は、 regexをエスケープする必要があります。 (\\d{4}-\\d{4}-\\d{4}-\\d{4})

   難読化表現を更新する際に、すべてのフィールドを指定する必要はなく、id（必須）と修正したいフィールドのみを指定すればよい。

難読化表現を削除するには、これらのオプションのいずれかを使用します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。

2. Expressions タブを選択します。

3. 削除したい難読化表現の右側の3点メニュー ... をクリックし、 削除 をクリックします。

4. Delete をクリックして、式を削除することを確認します。

   ナードグラフを使って

   logConfigurationsの下にあるlogConfigurationsDeleteObfuscationExpressionミューテーターを使用します。 GraphiQLに入力された例と、api.newrelic.com/graphiqlの関連ドキュメントを参照してください。

   変異は、削除される前の式のスナップショットを返します。

難読化ルールを作成するには、これらのオプションのいずれかを使用します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。
2. 難読化ルールの作成 をクリックします。
3. 新しい難読化ルールの名前と、難読化したいログのターゲットセットを捕捉するためのマッチング条件（NRQL形式）を入力します。
4. 新しい actions を追加して（最初のものは自動的に追加されます）、各属性セットをキャプチャする難読化式（正規表現）と、それらを MASK または HASH するかどうかを指定します。

• カンマ区切りで複数の属性を指定することができる。

• MASK 一致するすべての文字をX esに置き換えます。 MASKを使用すると、後で特定の難読化された値を照会できなくなります。

• HASH 機密データをSHA-256ハッシュ値に置き換えます。 HASHを使用する場合、クリアテキスト値がわかっていれば、ハッシュツールを使用してそれらをクエリできます。

  ルールは次のようなものです。

  

5. Create rule をクリックし、難読化ルールを作成・有効化します。

   ナードグラフを使って

   logConfigurationsの下にあるlogConfigurationsCreateObfuscationRuleミューテーターを使用します。 GraphiQLに入力された例と、api.newrelic.com/graphiqlの関連ドキュメントを参照してください。

   重要

   特定の難読化アクションにリンクするには、難読化expressionIdを指定する必要があります。このIDを取得するには、 obfuscationRulesをクエリします。

難読化ルールを照会するには、これらのオプションのいずれかを使用します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。

2. Rules タブ（デフォルト）を選択すると、利用可能なすべての難読化ルールとその定義が表示されます。

   ナードグラフを使って

   actor.account.logConfigurationsの下にあるobfuscationRulesフェッチャーを使用します。 GraphiQLに入力された例と、api.newrelic.com/graphiqlの関連ドキュメントを参照してください。

難読化ルールを更新するには、これらのオプションのいずれかを使用します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。

2. Rules タブを選択します（デフォルト）。

3. 編集したい難読化ルールの右側にある3つの点のメニュー ... をクリックし、 Edit をクリックします。

4. 必要に応じてフィールドを変更し、 ルールの更新 をクリックします。

   ナードグラフを使って

   logConfigurationsの下にあるlogConfigurationsUpdateObfuscationRuleミューテーターを使用します。 GraphiQLに入力された例と、api.newrelic.com/graphiqlの関連ドキュメントを参照してください。

   重要

   特定の難読化アクションにリンクするには、難読化expressionIdを指定する必要があります。このIDを取得するには、[query the obfuscationRules ]]（＃rules-read）で説明されているように、 obfuscationRulesを使用できます。

   難読化ルールを更新するときに、すべてのフィールドを指定する必要はありませんid （必須）と変更するフィールドのみを指定する必要があります。 名前のみを更新する例を次に示します。

難読化ルールを削除するには、これらのオプションのいずれかを使用します。

ログUIを使用する。

1. one.newrelic.com > Logs にアクセスし、左のナビから Obfuscation を選択します。

2. Rules タブを選択します（デフォルト）。

3. 削除したい難読化ルールの右側にある3つの点のメニュー ... をクリックし、 削除... をクリックします。

4. Delete をクリックして、式を削除することを確認します。

   ナードグラフを使って

   logConfigurationsの下にあるlogConfigurationsDeleteObfuscationRuleミューテーターを使用します。 GraphiQLに入力された例と、api.newrelic.com/graphiqlの関連ドキュメントを参照してください。

   変異は、削除される前のルールのスナップショットを返します。