• /
  • EnglishEspañol日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.

Crea una propuesta

Ofuscación de logs: hash o enmascarar datos sensibles en tu log

Con log de regla de ofuscación, puedes evitar que ciertos tipos de información se guarden en New Relic.

Requisitos

Nuestra característica de ofuscación de registros está disponible como parte de nuestra opción Data Plus.

Qué es ofuscación de logs?

Nuestro servicio enmascara automáticamente los patrones numéricos que identificamos como elementos probablemente confidenciales, como números de tarjetas de crédito o de Seguro Social.

Si necesita ofuscación adicional, una opción es ajustar la configuración del reenviador de registros que utiliza (por ejemplo, nuestro agente de infraestructura). Pero una opción más sencilla es utilizar nuestra característica de ofuscación de registros, disponible con Data Plus. Esta característica le permite configurar la regla de ofuscación log directamente desde la UI de administración de registros, o mediante nuestra API NerdGraph, sin una configuración manual prolongada. Definirá expresiones regulares que coincidan con su información confidencial y luego creará reglas para ofuscar esos datos. Puede elegir entre tener información confidencial enmascarada o hash.

Definiciones

Aquí hay algunos términos importantes:

  • Obfuscation rules

    definir a qué log aplicar acciones de ofuscación.

  • Obfuscation rule actions

    define qué atributo mirar, qué texto ofuscar y cómo ofuscar (ya sea mediante enmascaramiento o hash).

  • Obfuscation expressions

    se denominan expresiones regulares que identifican qué texto ofuscar.

  • Masking

    elimina completamente la información, reemplazándola con X caracteres. No puede buscar valores específicos una vez hecho esto.

  • Hashing

    oculta información. Puede utilizar la herramienta de hash para obtener el hash de un valor confidencial y luego buscar el registro que contenga ese hash.

Cómo funciona la ofuscación

Los objetos JSON que se muestran en el siguiente ejemplo son simplificaciones de la carga utilizada por nuestra API NerdGraph. Esto le ayudará a correlacionar mejor las diferentes operaciones de API con sus contrapartes equivalentes de UI.

Ejemplo: registro log antes de la ofuscación

Imagine que tiene el siguiente registro log :

{
"message": "The credit card number 4321-5678-9876-2345 belongs to user user@email.com (born on 01/02/2003) with SSN 123-12-1234",
"creditCardNumber": "4321-5678-9876-2345",
"ssn": "123-12-1234",
"department": "sales",
"serviceName": "loginService"
}

Este log contiene varios datos confidenciales. Idealmente, le gustaría que su log terminara luciendo así:

{
"message": "The credit card number 9aa9bc1528859aee1b1df75795f1ebd54beb2f0d26c8a1d4580a71a07189cdd5 belongs to user user@email.com (born on XXXXXXXXXX) with SSN 30e6897f76dc102e32ee1d781c43417d259e586eac15c963d75ab8b5187769da",
"creditCardNumber": "9aa9bc1528859aee1b1df75795f1ebd54beb2f0d26c8a1d4580a71a07189cdd5",
"ssn": "30e6897f76dc102e32ee1d781c43417d259e586eac15c963d75ab8b5187769da",
"department": "sales",
"serviceName": "loginService"
}

Ejemplo: proceso básico

Este es el proceso básico que usaría para ofuscar los datos confidenciales en este ejemplo.

Lista de verificación: pasos para ofuscar el registro

Para ofuscar su registro:

  1. Estudie la forma de su registro identificando patrones de datos confidenciales que aparecen en ellos. Por ejemplo:

    • ¿Todo su registro contiene información confidencial? ¿O puede ser más específico (solo el registro del servicio A o la región B)?
    • ¿Qué información sensible contienen: números de tarjetas de crédito, números de licencia de conducir, documentos de identidad, datos biométricos, otros valores?
  2. Cree expresiones de ofuscación para identificar cómo extraer datos confidenciales.

  3. Definir reglas de ofuscación para cada conjunto de logs:

    • Defina cómo los capturará usando NRQL.
    • Defina qué acciones de ofuscación se deben aplicar a cada uno de ellos. Pregúntese: ¿Tendré que consultar mi registro utilizando esta información confidencial más adelante (considere usar HASH), o tendré que eliminar esta información por completo de mi registro (considere usar MASK)?

Sugerencia

La UI Logs obfuscation incluye un Hashing tool para que pueda encontrar un hash de un valor conocido y copiarlo para usarlo con otras expresiones y reglas.

Límites de CPU

La ofuscación tiene límites de CPU por minuto. Si una cuenta alcanza estos límites de recursos, el registro no se ocultará como se esperaba. Para verificar los límites de su CPU, vaya a la página Limits de su sistema en la UI Data management.

Si excede los límites de ofuscación por minuto de CPU y el registro no se puede ofuscar ni aplicar hash, el atributo al que se aplicó la regla de ofuscación será dropped y se reemplazará con un texto que indique por qué se eliminó el atributo. Por ejemplo, si se aplica la regla de ofuscación al campo message y se alcanza el límite de CPU por minuto, el log resultante se verá así:

{
...
"message": "<OBFUSCATION> The account is over its obfuscation per-minute limit, attribute dropped",
...
}

Esto es para evitar que la PII u otros datos confidenciales se ingieran sin darse cuenta.

Además, se registrará el siguiente `NrIntegrationError' en la cuenta:

{
"category": "RateLimit",
"level": "error",
"limitName": "Log API obfuscation per account per minute",
"message": "You’ve exceeded our limit of per-account obfuscation time per-minute for the Log ingestion pipeline. Please reduce your usage or contact New Relic support.",
"name": "ObfuscationTimeLimitReached",
"newRelicFeature": "Logs",
"rateLimitType": "ObfuscationTimePerMinute",
"timestamp": 1678819264283
}

Para evaluar qué tan bien está funcionando su regla de ofuscación y ver cuáles se están saltando, vaya a Logs Obfuscation > Health. Las reglas de ofuscación consumen mucha CPU, por lo que estos gráficos pueden ayudarle a decidir qué reglas se ven más afectadas por las limitaciones de recursos.

Expresión de ofuscación

Puede crear, leer, actualizar o eliminar expresión de ofuscación utilizando la New Relic UI o utilizando NerdGraph, nuestro Explorador GraphQL.

Screenshot of Logs obfuscation expressions UI

one.newrelic.com > All capabilities > Logs > Obfuscation: Primero crea una o más expresiones de ofuscación, luego crea tu regla de ofuscación.

Expresiones de muestra

A continuación, proporcionamos algunos ejemplos de expresiones regulares para ofuscar algunos de los tipos de datos confidenciales más comunes. La expresión de ofuscación debe crearse para cada cuenta New Relic donde se utilizarán esas expresiones.

Sugerencia

Los siguientes ejemplos son expresiones regulares que podría utilizar en la UI. Para usarlos en GraphQL, deberá escaparlos como se muestra en este ejemplo.

Regla de ofuscación

Puede crear, leer, actualizar o eliminar regla de ofuscación utilizando la New Relic UI o utilizando NerdGraph, nuestro Explorador GraphQL.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.