• EnglishEspañol日本語한국어Português
  • 로그인지금 시작하기

사용자의 편의를 위해 제공되는 기계 번역입니다.

영문본과 번역본이 일치하지 않는 경우 영문본이 우선합니다. 보다 자세한 내용은 이 페이지를 방문하시기 바랍니다.

문제 신고

로그 난독화: 귀하의 로그에 있는 민감한 데이터를 반 또는 마스크

로그 난독화 규칙을 사용하면 특정 유형의 정보가 New Relic에 저장되는 것을 방지할 수 있습니다.

요구 사항

로그 난독화 기능은 데이터 플러스 옵션 의 일부로 제공됩니다.

로그 난독화란 무엇입니까?

당사의 서비스는 신용카드나 주민등록번호 등 민감한 항목일 가능성이 있다고 식별되는 마스크 번호 패턴을 자동으로 제공합니다.

추가 난독화가 필요한 경우 한 가지 옵션은 사용하는 클러스터 전달자(예: 당사 에이전트)의 설정을 조정하는 것입니다. 하지만 더 쉬운 옵션은 Data Plus 에서 제공되는 로그 난독화 기능을 사용하는 것입니다. 이를 통해 긴 수동 설정 없이 로그인 기능 관리 UI 에서 직접 또는 NerdGraph API 통해 로그인을 설정할 수 있습니다. 중요한 정보와 일치하는 정규식을 정의한 다음 해당 데이터를 난독화하는 규칙을 만듭니다. 민감한 정보를 마스킹하거나 해시하도록 선택할 수 있습니다.

정의

다음은 몇 가지 중요한 용어입니다.

  • Obfuscation rules

    난독화 작업을 적용할 로그를 정의합니다.

  • Obfuscation rule actions

    확인할 속성, 난독화할 텍스트, 난독화 방법(마스킹 또는 해싱을 통해)을 정의합니다.

  • Obfuscation expressions

    난독화할 텍스트를 식별하는 정규 표현식으로 명명됩니다.

  • Masking

    정보를 완전히 제거하여 X 문자로 바꿉니다. 이 작업이 완료되면 특정 값을 검색할 수 없습니다.

  • Hashing

    정보를 숨깁니다. 해싱 도구를 사용하여 민감한 값의 해시를 가져온 다음 해당 해시가 포함된 로그를 검색할 수 있습니다.

난독화 작동 방식

다음 예에 표시된 JSON 개체는 NerdGraph API에서 사용되는 페이로드를 단순화한 것입니다. 이렇게 하면 다양한 API 작업을 상응하는 UI 작업과 더 잘 연관시키는 데 도움이 됩니다.

예: 난독화 전의 로그 기록

다음과 같은 로그 레코드가 있다고 상상해 보십시오.

{
"message": "The credit card number 4321-5678-9876-2345 belongs to user user@email.com (born on 01/02/2003) with SSN 123-12-1234",
"creditCardNumber": "4321-5678-9876-2345",
"ssn": "123-12-1234",
"department": "sales",
"serviceName": "loginService"
}

이 로그 레코드에는 몇 가지 민감한 데이터가 포함되어 있습니다. 이상적으로는 로그가 다음과 같이 끝나기를 바랍니다.

{
"message": "The credit card number 9aa9bc1528859aee1b1df75795f1ebd54beb2f0d26c8a1d4580a71a07189cdd5 belongs to user user@email.com (born on XXXXXXXXXX) with SSN 30e6897f76dc102e32ee1d781c43417d259e586eac15c963d75ab8b5187769da",
"creditCardNumber": "9aa9bc1528859aee1b1df75795f1ebd54beb2f0d26c8a1d4580a71a07189cdd5",
"ssn": "30e6897f76dc102e32ee1d781c43417d259e586eac15c963d75ab8b5187769da",
"department": "sales",
"serviceName": "loginService"
}

예: 기본 프로세스

다음은 이 예에서 민감한 데이터를 난독화하는 데 사용하는 기본 프로세스입니다.

체크리스트: 로그를 난독화하는 단계

로그를 난독화하려면:

  1. 로그에 나타나는 민감한 데이터의 패턴을 식별하여 로그의 형태를 연구하십시오. 예를 들어:

    • 모든 로그에 민감한 정보가 포함되어 있습니까? 아니면 좀 더 구체적으로 말씀해 주시겠습니까(서비스 A 또는 지역 B의 로그만)?
    • 신용 카드 번호, 운전 면허증 번호, 주민등록번호, 생체 인식, 기타 값과 같은 민감한 정보가 포함되어 있습니까?
  2. 민감한 데이터를 추출하는 방법을 식별하기 위해 난독화 표현식 을 작성하십시오.

  3. 각 로그 세트에 대한 난독화 규칙 을 정의합니다.

    • NRQL을 사용하여 캡처하는 방법을 정의합니다.
    • 각각에 적용해야 하는 난독화 조치를 정의하십시오. 자문해 보십시오. 나중에 이 민감한 정보를 사용하여 내 로그를 쿼리해야 합니까( HASH 사용 고려), 아니면 이 정보를 내 로그에서 완전히 제거해야 하나요( MASK 사용 고려)?

Logs obfuscation UI에는 알려진 값에서 해시를 찾아 복사하여 다른 표현식 및 규칙과 함께 사용할 수 있도록 Hashing tool 가 포함되어 있습니다.

CPU 제한

난독화에는 분당 CPU 제한이 있습니다. 계정이 이러한 리소스 제한에 도달하면 로그가 예상대로 난독화되지 않습니다. CPU 한도를 확인하려면 Data management UI의 시스템 Limits 페이지 로 이동하세요.

분당 난독화 CPU 한도를 초과하고 로그를 난독화할 수 없거나 이미 난독화 룰이 적용된 속성은 dropped 되고 속성이 삭제된 이유를 나타내는 텍스트로 대체됩니다. 예를 들어 난독화 규칙이 message 필드에 적용되고 분당 CPU 제한에 도달하면 결과 로그는 다음과 같습니다.

{
...
"message": "<OBFUSCATION> The account is over its obfuscation per-minute limit, attribute dropped",
...
}

이는 PII 또는 기타 민감한 데이터가 실수로 수집되는 것을 방지하기 위한 것입니다.

또한 다음 `NrIntegrationError'가 계정에 기록됩니다.

{
"category": "RateLimit",
"level": "error",
"limitName": "Log API obfuscation per account per minute",
"message": "You’ve exceeded our limit of per-account obfuscation time per-minute for the Log ingestion pipeline. Please reduce your usage or contact New Relic support.",
"name": "ObfuscationTimeLimitReached",
"newRelicFeature": "Logs",
"rateLimitType": "ObfuscationTimePerMinute",
"timestamp": 1678819264283
}

난독화 룰이 얼마나 잘 작동하는지 평가하고 어느 것을 건너뛰고 있는지 확인하려면 Logs Obfuscation > Health 으로 이동하세요. 난독화 규칙은 CPU 집약적이므로 이 차트는 리소스 제한으로 인해 어떤 규칙이 가장 큰 영향을 받는지 결정하는 데 도움이 될 수 있습니다.

난독화 표현

New Relic UI를 사용하거나 GraphQL Explorer인 NerdGraph를 사용하여 난독화 표현식을 생성, 읽기, 업데이트 또는 삭제할 수 있습니다.

one.newrelic.com > All capabilities > Logs > Obfuscation: 먼저 하나 이상의 난독화 룰을 생성한 다음 난독화 룰을 생성하세요.

샘플 표현식

아래에는 가장 일반적인 민감한 데이터 유형 중 일부를 난독화하기 위한 몇 가지 샘플 정규 표현식이 제공되어 있습니다. 난독화 찾기는 해당 표현이 사용될 각 뉴렐릭 계정에 대해 생성되어야 합니다.

다음 예는 UI에서 사용할 수 있는 정규식입니다. GraphQL에서 이를 사용하려면 이 예제 에 표시된 대로 이스케이프해야 합니다.

난독화 규칙

New Relic UI를 사용하거나 GraphQL Explorer인 NerdGraph를 사용하여 난독화 규칙을 생성, 읽기, 업데이트 또는 삭제할 수 있습니다.

Copyright © 2024 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.