Maske sensible Daten in Protokollen, die mit logback

Ich muss in der Lage zu suchen, ein event für eine Reihe von mustern und ersetzen Sie den text in das Muster mit einem maskierten Wert. Dies ist eine Funktion, die in unserem Antrag vorgesehen, um zu verhindern, dass vertrauliche Informationen fallen in den logs. Die Informationen können aus einer Vielzahl an Quellen ist es nicht praktisch, Filter anwenden auf alle Eingänge. Daneben gibt es Anwendungen für toString() über die Protokollierung und ich will nicht, toString() auf einheitlich Maske für alle Anrufe (nur logging).

Habe ich versucht, mit den %replace-Methode in logback.xml:

<pattern>%d{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %replace(%msg){'f k\="pin">(.*?)&lt;/f','f k\="pin">**********&lt;/f'}%n</pattern>

Dieser erfolgreich war (nach dem ersetzen der Spitzen Klammern mit Zeichen-Entitäten), aber es kann nur ersetzen Sie ein einzelnes Muster. Ich möchte auch ausführen, das äquivalent von

<pattern>%d{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %replace(%msg){'pin=(.*?),','pin=**********,'}%n</pattern>

zur gleichen Zeit, aber nicht kann. Es gibt keinen Weg, zu maskieren beiden Muster in der ein %ersetzen.

Den anderen Weg, dass wurde Locker besprochen interblags baut etwas auf der appender/encoder - /layout-Hierarchie, aber jeder Versuch zum abfangen des ILoggingEvent hat zu einem Zusammenbruch des gesamten Systems, in der Regel durch Instanziierung Fehler oder UnsupportedOperationException.

Zum Beispiel, ich habe versucht, die Erweiterung PatternLayout:

@Component("maskingPatternLayout")
public class MaskingPatternLayout extends PatternLayout {

    @Autowired
    private Environment env;

    @Override
    public String doLayout(ILoggingEvent event) {
        String message=super.doLayout(event);

        String patternsProperty = env.getProperty("bowdleriser.patterns");

        if( patternsProperty != null ) {
            String[] patterns = patternsProperty.split("|");
            for (int i = 0; i < patterns.length; i++ ) {
                Pattern pattern = Pattern.compile(patterns[i]);
                Matcher matcher = pattern.matcher(event.getMessage());
                matcher.replaceAll("*");
            }
        } else {
            System.out.println("Bowdleriser not cleaning! Naughty strings are getting through!");
        }

        return message;
    }
}

und dann einstellen logback.xml

<configuration>
  <appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
    <encoder>
        <layout class="com.touchcorp.touchpoint.utils.MaskingPatternLayout">
      <pattern>%d{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n</pattern>
        </layout>
    </encoder>
  </appender>

    <appender name="FILE" class="ch.qos.logback.core.rolling.RollingFileAppender">
      <file>logs/touchpoint.log</file>
        <rollingPolicy class="ch.qos.logback.core.rolling.FixedWindowRollingPolicy">
            <fileNamePattern>logs/touchpoint.%i.log.zip</fileNamePattern>
            <minIndex>1</minIndex>
            <maxIndex>3</maxIndex>
        </rollingPolicy>

        <triggeringPolicy class="ch.qos.logback.core.rolling.SizeBasedTriggeringPolicy">
            <maxFileSize>10MB</maxFileSize>
        </triggeringPolicy>
      <encoder>
          <layout class="com.touchcorp.touchpoint.utils.MaskingPatternLayout">
            <pattern>%date{YYYY-MM-dd HH:mm:ss} %level [%thread] %logger{10} [%file:%line] %msg%n</pattern>
          </layout>
      </encoder>
    </appender>


  <logger name="com.touchcorp.touchpoint" level="DEBUG" />
  <logger name="org.springframework.web.servlet.mvc" level="TRACE" />

  <root level="INFO">
    <appender-ref ref="FILE" />
    <appender-ref ref="STDOUT" />
  </root>
</configuration>

Ich habe versucht, viele andere Einfügungen, so war ich Frage mich, ob jemand tatsächlich das erreicht, was ich bin versucht, und wenn Sie könnten, bieten keine Hinweise oder eine Lösung.

InformationsquelleAutor Michael Coxon | 2014-08-13
  1. 12

    Müssen Sie wrap-layout mit LayoutWrappingEncoder. Und auch ich glaube, dass Sie nicht verwenden können, der Frühling hier wie logback ist nicht gelungen, bis zum Frühjahr.

    Hier ist die aktualisierte Klasse.

    public class MaskingPatternLayout extends PatternLayout {

    private String patternsProperty;

    public String getPatternsProperty() {
        return patternsProperty;
    }

    public void setPatternsProperty(String patternsProperty) {
        this.patternsProperty = patternsProperty;
    }

    @Override
    public String doLayout(ILoggingEvent event) {
        String message = super.doLayout(event);

        if (patternsProperty != null) {
            String[] patterns = patternsProperty.split("\\|");
            for (int i = 0; i < patterns.length; i++) {
                Pattern pattern = Pattern.compile(patterns[i]);

                Matcher matcher = pattern.matcher(event.getMessage());
                if (matcher.find()) {
                    message = matcher.replaceAll("*");
                }
            }
        } else {

        }

        return message;
    }

}

    - Und sample-logback.xml

    <appender name="fileAppender1" class="ch.qos.logback.core.FileAppender">
    <file>c:/logs/kp-ws.log</file>
    <append>true</append>
    <encoder class="ch.qos.logback.core.encoder.LayoutWrappingEncoder">
        <layout class="com.kp.MaskingPatternLayout">
            <patternsProperty>.*password.*|.*karthik.*</patternsProperty>
            <pattern>%d [%thread] %-5level %logger{35} - %msg%n</pattern>
        </layout>
    </encoder>
</appender>
<root level="DEBUG">
    <appender-ref ref="fileAppender1" />
</root>

    UPDATE

    Hier den besseren Ansatz, Muster, beim init selbst. so dass wir vermeiden können, Neuerstellung Muster wieder und wieder und diese Umsetzung ist in der Nähe von realistischen Anwendungsfall.

    public class MaskingPatternLayout erstreckt PatternLayout {

    private String patternsProperty;
private Optional<Pattern> pattern;

public String getPatternsProperty() {
    return patternsProperty;
}

public void setPatternsProperty(String patternsProperty) {
    this.patternsProperty = patternsProperty;
    if (this.patternsProperty != null) {
        this.pattern = Optional.of(Pattern.compile(patternsProperty, Pattern.MULTILINE));
    } else {
        this.pattern = Optional.empty();
    }
}

    @Override
    public String doLayout(ILoggingEvent event) {
        final StringBuilder message = new StringBuilder(super.doLayout(event));

        if (pattern.isPresent()) {
            Matcher matcher = pattern.get().matcher(message);
            while (matcher.find()) {

                int group = 1;
                while (group <= matcher.groupCount()) {
                    if (matcher.group(group) != null) {
                        for (int i = matcher.start(group); i < matcher.end(group); i++) {
                            message.setCharAt(i, '*');
                        }
                    }
                    group++;
                }
            }
        }
        return message.toString();
    }

}

    Und die aktualisierte Konfigurationsdatei.

    <appender name="fileAppender1" class="ch.qos.logback.core.FileAppender">
    <file>c:/logs/kp-ws.log</file>
    <append>true</append>
    <encoder class="ch.qos.logback.core.encoder.LayoutWrappingEncoder">
        <layout class="com.kp.MaskingPatternLayout">
            <patternsProperty>(password)|(karthik)</patternsProperty>
            <pattern>%d [%thread] %-5level %logger{35} - %msg%n</pattern>
        </layout>
    </encoder>
</appender>
<root level="DEBUG">
    <appender-ref ref="fileAppender1" />
</root>

    Ausgabe

    My username=test and password=*******
    • Dank Karthik, das ist eine gute Lösung, nur muss ich stellen Sie es leicht ersetzen nicht ganze strings nur Teile der Muster.
    • Eine Möglichkeit zu integrieren, diese mit Feder markiert die Klasse als @Component. Muss die Klasse einen Standard-Konstruktor und ein @Autowired Konstruktor. Die autowired Konstruktor kann dann festlegen, statische Eigenschaften der Klasse, um füllen Sie die erforderlichen Informationen ein. Oder Sie können org.springframework.core.io.support.PathMatchingResourcePatternResolver zu untersuchen claspath. Dies ist nicht mit Spring-Verzeichnis, sondern ermöglicht es Ihnen, für Dinge zu sehen, wie annotierten Klassen.
    • Auch, wie der code steht, es sieht aus wie nur das Letzte Muster entsprechen, angewendet werden.
    • Aktualisierte Antwort...... mit besserer Ansatz
    • wie kann ich Vorgehen wenn ich mit log4j, nicht logback
    • <patternsProperty>(Passwort)|(karthik)</patternsProperty> Wie Sie es verwenden, zu maskieren paar Felder von meinem model-Klasse?
    • mit Ihrem oben-code für mich seine Maskierung "Mein Benutzername=test und Passwort=*******" Passwort Wort selbst und drucken den Wert password normal, wie war es für Sie gearbeitet?
    • Dies ist ein Beispiel, Sie sollten ändern Sie das Muster entsprechend.
    • Ich habe versucht viele verschiedene Möglichkeiten aber nicht in der Lage zu finden. Haben Sie irgendeinen Hinweis oder Vorschlag zu tun Maskierung basiert auf der pojo-Klasse-Feld-Namen?
    • Sie können versuchen <patternsProperty>password=(\w+)|(karthik)</patternsProperty>

    InformationsquelleAutor Karthik Prasad
  2. 5

    Aus der Dokumentation:

    replace(p){r, t}

    Muster p können beliebig Komplex sein und können insbesondere enthalten Sie mehrere conversion-keywords.

    Zugewandt gleiche problem mit ersetzen von 2 Muster in einer Nachricht, ich habe gerade versucht chain so p ist nur einen Aufruf ersetzen, in meinem Fall:

    %replace(  %replace(%msg){'regex1', 'replacement1'}  ){'regex2', 'replacement2'}

    Super geklappt, obwohl ich Frage mich, wenn ich drücken Sie es ein bisschen und p kann ja sein, dass beliebig komplexe.

    • Ich bestätige die Lösung für mehrere conversion-keywords mit Verkettung %ersetzen auch bei mir geklappt, vielen Dank an Dimitri!!! @EladTabak Diese Lösung funktionierte für mich.
    • Verpasste die Doppel-ersetzen es. Funktioniert wie Charme. Danke!
    InformationsquelleAutor Dmitri
  3. 1

    Habe ich Zensoren in https://github.com/tersesystems/terse-logback, die es Ihnen erlauben, zu definieren, eine Zensur in einem Ort und dann finden Sie es in mehrere appenders.

    InformationsquelleAutor Will Sargent
  4. 0

    Einen sehr ähnlichen, aber etwas anderen Ansatz entwickelt sich um customizing CompositeConverter, und definieren Sie einen <conversionRule ...> innerhalb der logback, die auf die benutzerdefinierte Konverter.

    In einem meiner tech-demo-Projekte, die ich definiert MaskingConverter - Klasse definiert eine Reihe von mustern, die Protokollierung Ereignis analysiert und auf ein match aktualisiert, die innerhalb meiner logback-Konfiguration.

    Als link-nur die Antworten sind es nicht, die Geliebte, die hier SO poste ich die wichtigen Teile des Codes hier und erklären, was es tut und warum er es so eingerichtet. Beginnend mit der Java-basierten benutzerdefinierten Konverter-Klasse:

    public class MaskingConverter<E extends ILoggingEvent> extends CompositeConverter<E> {

  public static final String CONFIDENTIAL = "CONFIDENTIAL";
  public static final Marker CONFIDENTIAL_MARKER = MarkerFactory.getMarker(CONFIDENTIAL);

  private Pattern keyValPattern;
  private Pattern basicAuthPattern;
  private Pattern urlAuthorizationPattern;

  @Override
  public void start() {
    keyValPattern = Pattern.compile("(pw|pwd|password)=.*?(&|$)");
    basicAuthPattern = Pattern.compile("(B|b)asic ([a-zA-Z0-9+/=]{3})[a-zA-Z0-9+/=]*([a-zA-Z0-9+/=]{3})");
    urlAuthorizationPattern = Pattern.compile("//(.*?):.*?@");
    super.start();
  }

  @Override
  protected String transform(E event, String in) {
    if (!started) {
      return in;
    }
    Marker marker = event.getMarker();
    if (null != marker && CONFIDENTIAL.equals(marker.getName())) {
      //key=value[&...] matching
      Matcher keyValMatcher = keyValPattern.matcher(in);
      //Authorization: Basic dXNlcjpwYXNzd29yZA==
      Matcher basicAuthMatcher = basicAuthPattern.matcher(in);
      //sftp://user:password@host:port/path/to/resource
      Matcher urlAuthMatcher = urlAuthorizationPattern.matcher(in);

      if (keyValMatcher.find()) {
        String replacement = "$1=XXX$2";
        return keyValMatcher.replaceAll(replacement);
      } else if (basicAuthMatcher.find()) {
        return basicAuthMatcher.replaceAll("$1asic $2XXX$3");
      } else if (urlAuthMatcher.find()) {
        return urlAuthMatcher.replaceAll("//$1:XXX@");
      }
    }
    return in;
  }
}

    Diese Klasse definiert eine Reihe von RegEx-Muster der jeweiligen log-Zeile sollte verglichen werden und auf übereinstimmung führen zu einem update der Veranstaltung durch die Maskierung der Passwörter.

    Beachten Sie, dass in diesem code-Beispiel wird davon ausgegangen, dass eine log-Zeile enthält nur eine Art Passwort. Sie sind natürlich frei anpassen der bahvior, um Ihre Bedürfnisse in den Fall, Sie wollen zu prüfen, jede Zeile für mehrere Muster entspricht.

    Gelten diese Konverter, muss man einfach die folgende Zeile hinzufügen, um die logback-Konfiguration:

    <conversionRule conversionWord="mask" converterClass="at.rovo.awsxray.utils.MaskingConverter"/>

    definiert eine neue Funktion mask die verwendet werden können, in einem Muster, um die Maske alle log-events passend zu jedem definierte Muster in der benutzerdefinierte Konverter. Diese Funktion kann nun dazu verwendet werden, innerhalb eines Musters zu sagen, Logback zum ausführen der Logik auf jedes Ereignis protokollieren. Die jeweiligen Muster könnte etwas entlang der Linien unten:

    <property name="patternValue"
          value="%date{yyyy-MM-dd HH:mm:ss} [%-5level] - %X{FILE_ID} - %mask(%msg) [%thread] [%logger{5}] %n"/>

<!-- Appender definitions-->

<appender class="ch.qos.logback.core.ConsoleAppender" name="console">
    <encoder>
        <pattern>${patternValue}</pattern>
    </encoder>
</appender>

    wo %mask(%msg) wird, nehmen Sie die original-log-Zeile als Eingabe und führen Sie die Passwort-Maskierung auf jede der Zeilen übergeben, die Funktion.

    Als probing jede Zeile für einen oder mehrere Muster entspricht, können teuer werden, der Java-code oben enthält Marker, die verwendet werden können, die in den log-Anweisungen zu senden, die bestimmte meta-Informationen über den log-Anweisung selbst zu Logback/SLF4J. Basierend auf diesen Markern unterschiedliche Verhalten könnte erreichbar sein. In dem Szenario präsentiert, ein marker-interface kann verwendet werden, um zu sagen, Logback, dass die jeweiligen log-Zeile enthält vertrauliche Informationen und daher ist Maskierung, wenn es passt. Jede log-Zeile, die nicht als vertraulich gekennzeichnet sind, werden ignoriert von diesem Konverter, der hilft, Pumpen die Linien schneller, da kein pattern matching durchgeführt werden muss auf diesen Linien.

    In Java eine solche Markierung kann Hinzugefügt werden, um eine log-Anweisung wie folgt aus:

    LOG.debug(MaskingConverter.CONFIDENTIAL_MARKER, "Received basic auth header: {}",
      connection.getBasicAuthentication());

    die möglicherweise erzeugen eine Protokoll-Zeile, die ähnlich Received basic auth header: Basic QlRXXXlQ= für die oben genannten benutzerdefinierten Konverter, die Blätter der ersten und letzten der Zeichen im Takt, aber verbirgt die mittleren bits mit XXX.

    InformationsquelleAutor Roman Vottner
  5. 0

    Ich verwendet habe, zensieren basierend auf RegexCensor aus der Bibliothek https://github.com/tersesystems/terse-logback.
    In logback.xml

    <!--censoring information-->
<newRule pattern="*/censor" actionClass="com.tersesystems.logback.censor.CensorAction"/>
<conversionRule conversionWord="censor" converterClass="com.tersesystems.logback.censor.CensorConverter" />
<!--impl inspired by com.tersesystems.logback.censor.RegexCensor -->
<censor name="censor-sensitive" class="com.mycompaqny.config.logging.SensitiveDataCensor"></censor>

    wo ich die Liste regex-Ersetzungen. 

    @Getter@Setter    
public class SensitiveDataCensor extends ContextAwareBase implements Censor, LifeCycle {
    protected volatile boolean started = false;
    protected String name;
    private List<Pair<Pattern, String>> replacementPhrases = new ArrayList<>();

    public void start() {

        String ssnJsonPattern = "\"(ssn|socialSecurityNumber)(\"\\W*:\\W*\".*?)-(.*?)\"";
        replacementPhrases.add(Pair.of(Pattern.compile(ssnJsonPattern), "\"$1$2-****\""));

        String ssnXmlPattern = "<(ssn|socialSecurityNumber)>(\\W*.*?)-(.*?)</";
        replacementPhrases.add(Pair.of(Pattern.compile(ssnXmlPattern), "<$1>$2-****</"));

        started = true;
    }

    public void stop() {
        replacementPhrases.clear();
        started = false;
    }

    public CharSequence censorText(CharSequence original) {
        CharSequence outcome = original;
        for (Pair<Pattern, String> replacementPhrase : replacementPhrases) {
            outcome = replacementPhrase.getLeft().matcher(outcome).replaceAll(replacementPhrase.getRight());
        } 
        return outcome;
    }
}

    in logback.xml wie diese

    <message>[ignore]</message> <---- IMPORTANT to disable original message field so you get only censored message
...
<pattern>
    {"message": "%censor(%msg){censor-sensitive}"}
</pattern>

    InformationsquelleAutor MarekM
Schreibe einen Kommentar