【知识科普】简单聊聊日志脱敏技术

于 2024-10-25 23:52:29 发布
阅读量1k 收藏 20
点赞数 27
分类专栏: 微服务相关技术 Java开发技术 文章标签: logback log4j 日志脱敏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wendao76/article/details/143054450
版权

文章目录

日志脱敏

日志脱敏是指在日志记录中,将敏感信息(如用户姓名、身份证号、手机号、邮箱、银行卡号、密码等)进行处理,以避免敏感数据泄露的风险。这是一个重要的安全措施,尤其是在金融、医疗和电子商务等领域。以下是实现日志脱敏的一些常见方法:

  1. 掩码处理:对敏感信息进行部分遮盖,例如将手机号的中间四位替换为星号****

  2. 哈希处理:使用哈希算法对敏感信息进行加密,使其在日志中以哈希值的形式出现。

  3. 替换规则:定义一系列的替换规则,将特定的敏感信息模式替换为脱敏后的值。

  4. 正则表达式:使用正则表达式来识别和脱敏敏感信息。

  5. 自定义脱敏策略:开发自定义的脱敏策略,例如,可以基于数据的类型(如邮箱、手机号等)来应用不同的脱敏规则。

  6. 使用第三方库:使用专门的日志脱敏库,如Java中的sensitive项目,它提供了基于注解的日志脱敏方式,并支持Logback和Log4j2的插件。

  7. 日志框架支持:一些日志框架,如Logback和Log4j2,提供了内置的脱敏支持或插件。

  8. 编程脱敏:在代码中实现脱敏逻辑,例如,在记录日志之前对参数进行脱敏处理。

  9. 日志脱敏工具:使用日志脱敏工具,如log4j2-sensitive-data-filter,它提供了基于Log4j2的统一脱敏策略。

  10. 配置文件脱敏:在日志配置文件中定义脱敏规则,例如,在Logback的配置文件中使用<conversionRule>标签定义脱敏转换器。

在实际操作中,可以根据具体的业务需求和技术栈选择合适的脱敏方法。例如,如果使用Logback,可以通过以下方式实现脱敏:

  • 定义脱敏转换器

    <conversionRule conversionWord="sensitive" converterClass="com.example.SensitiveDataConverter" />

    然后在日志模式中使用%sensitive来引用脱敏后的数据。

  • 使用第三方脱敏插件
    在Maven项目中添加相应的依赖,并按照插件的文档配置脱敏规则。

  • 自定义Appender
    创建一个继承自ConsoleAppenderFileAppender的自定义Appender,在其中实现脱敏逻辑。

日志脱敏是一个需要持续关注和维护的过程,随着业务的发展和数据类型的增加,脱敏规则可能需要不断更新和优化。此外,脱敏处理应该在日志生成的早期阶段进行,以确保所有日志输出都符合安全要求。

log4j2日志脱敏

在Log4j中实现日志脱敏,可以通过以下几种方式:

  1. 使用Log4j2的RewriteAppender
    Log4j2提供了RewriteAppender,允许开发者实现自定义的RewritePolicy,对日志事件进行重写。例如,可以创建一个自定义的RewritePolicy来脱敏日志中的数据。通过实现RewritePolicy接口的rewrite方法,可以在日志输出前对敏感信息进行脱敏处理。例如,可以对包含敏感数据的日志进行脱敏处理,如身份证号、手机号等。配置示例如下:

    <Rewrite name="rewrite">
    <DataMaskingRewritePolicy />
    <AppenderRef ref="Console" />
</Rewrite>

    其中DataMaskingRewritePolicy是自定义的脱敏策略类。这种方法的好处是可以在日志输出前对日志内容进行处理,而不需要修改业务代码。

  2. 使用正则表达式过滤器
    Log4j2允许配置过滤器(Filters)来决定哪些日志应该被记录。可以配置一个正则表达式过滤器(RegexFilter)来匹配并脱敏敏感信息。例如,可以配置一个过滤器来匹配身份证号码的模式,并将其替换为脱敏后的字符串。配置示例如下:

    <Console name="Console" target="SYSTEM_OUT">
    <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss} %-5level %logger{36} - %msg%n"/>
    <Filters>
        <Filter type="SensitiveDataFilter" item="身份证号码" regex="匹配正则表达式" replacement="脱敏后的字符串"/>
    </Filters>
</Console>

    这种方法简单易用,但可能不适合复杂的脱敏规则,且可能会有性能上的考虑。

  3. 使用ScriptFilter
    ScriptFilter是一种灵活的过滤器,允许使用脚本语言(如Groovy)来处理日志事件。可以编写一个脚本,根据业务逻辑来脱敏日志中的数据。这种方法非常灵活,但需要一定的脚本编写能力。

  4. 使用第三方脱敏插件
    存在一些第三方的脱敏插件,如log4j2-sensitive-data-filter,这些插件提供了开箱即用的脱敏功能,可以很容易地集成到Log4j2的配置中。这些插件通常提供了丰富的脱敏规则和高性能的实现。

  5. 自定义脱敏策略
    可以自定义脱敏策略,例如,实现MaskSensitiveDataPolicy类,该类实现了RewritePolicy接口。在rewrite方法中,可以检查日志事件中是否包含敏感信息,并对其进行脱敏处理。这种方法提供了最大的灵活性,允许开发者根据具体需求实现脱敏逻辑。

选择哪种方法取决于具体的业务需求、脱敏规则的复杂性以及对性能的考虑。在实现日志脱敏时,应该确保脱敏过程不会对应用程序的性能产生负面影响,并且要确保脱敏规则的准确性,以避免敏感信息泄露。

实现范例

在Log4j2中实现日志脱敏,可以通过使用RewriteAppender和自定义的RewritePolicy来完成。以下是一个简单的示例,展示了如何实现日志脱敏:

  1. 定义脱敏策略:创建一个自定义的RewritePolicy,用于定义脱敏规则。例如,可以创建一个策略来脱敏手机号、邮箱等敏感信息。

    import org.apache.logging.log4j.core.LogEvent;
import org.apache.logging.log4j.core.appender.rewrite.RewritePolicy;
import org.apache.logging.log4j.core.config.plugins.Plugin;

@Plugin(name = "DataMaskingRewritePolicy", category = "Core", elementType = "rewritePolicy")
public class DataMaskingRewritePolicy implements RewritePolicy {
    @Override
    public LogEvent rewrite(LogEvent event) {
        // 这里添加脱敏逻辑,例如使用正则表达式匹配并脱敏敏感信息
        // 返回脱敏后的LogEvent
        return event;
    }
}

  2. 配置Log4j2使用自定义的脱敏策略:在Log4j2的配置文件中,添加RewriteAppender并引用自定义的脱敏策略。

    <Configuration status="WARN">
    <Appenders>
        <Console name="Console" target="SYSTEM_OUT">
            <Rewrite>
                <DataMaskingRewritePolicy />
            </Rewrite>
            <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n" />
        </Console>
    </Appenders>
    <Loggers>
        <Root level="debug">
            <AppenderRef ref="Console" />
        </Root>
    </Loggers>
</Configuration>

  3. 测试脱敏效果:在应用代码中记录日志,并检查输出的日志内容是否符合预期的脱敏效果。

    import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class LogTest {
    private static final Logger logger = LogManager.getLogger(LogTest.class);

    public static void main(String[] args) {
        logger.info("Sensitive information: mobile: 13012345678, email: test@example.com");
    }
}

在上述示例中,DataMaskingRewritePolicy是一个示例类,你需要根据实际需求实现脱敏逻辑。在配置文件中,通过<Rewrite>标签引用自定义的脱敏策略,并将其应用于控制台输出。

此外,还可以使用现成的脱敏插件,如sensitive-log4j2,它支持基于注解的方式进行日志脱敏,并且提供了灵活的配置选项。使用时,只需在项目的pom.xml中添加相应的依赖,并在Log4j2的配置文件中进行简单的配置即可实现统一的日志脱敏 。

请注意,具体的脱敏规则和实现可能需要根据你的业务需求和数据敏感性进行定制。上述示例仅提供了一个基本的框架,实际应用时可能需要更复杂的处理逻辑。

logback日志脱敏

在Logback中实现日志脱敏,可以通过以下几种方式:

  1. 使用Logback的Converter
    可以自定义一个Converter类来实现脱敏逻辑。例如,可以创建一个SensitiveDataConverter类,继承自MessageConverter,在convert方法中实现脱敏逻辑。然后在Logback的配置文件中使用这个Converter。这种方法需要修改配置文件,但不需要改动业务代码。

  2. 使用第三方脱敏插件
    例如,sensitive项目提供了基于注解的日志脱敏方式,并且支持Logback和Log4j2的插件。这个项目提供了一个高性能的日志脱敏组件,可以很容易地集成到Logback的配置中。它还支持自定义脱敏策略和注解,以及基于FastJSON生成脱敏后的JSON。

  3. 自定义Appender
    可以创建一个自定义的Appender,例如SensitiveConsoleAppender,继承自ConsoleAppender,在subAppend方法中实现脱敏逻辑。这种方法可以在日志输出之前对日志信息进行脱敏处理。

  4. 使用Filter实现脱敏
    可以在Logback配置文件中定义一个Filter,用于检查日志消息中是否包含敏感信息,并进行脱敏处理。这种方法可以在日志消息被处理之前进行脱敏,但它可能不如Converter或Appender方法灵活。

  5. 使用脱敏配置文件
    有些脱敏插件允许通过配置文件来定义脱敏规则,这样可以在不修改代码的情况下实现脱敏。例如,logback-desensitize.yml配置文件可以用来定义脱敏规则,如邮箱、手机号、身份证号等的脱敏模式。

  6. 使用正则表达式脱敏
    可以在Logback配置中使用正则表达式来匹配和脱敏敏感信息。这种方法适合于已知敏感信息的格式,并且可以通过正则表达式来识别和脱敏。

  7. 使用Logback的Layout
    可以定义一个自定义的Layout,例如SensitiveLogbackLayout,在其中实现脱敏逻辑。这种方法可以在日志消息被格式化为字符串之前进行脱敏处理。

每种方法都有其适用场景和优缺点。选择哪种方法取决于具体的业务需求、脱敏规则的复杂性以及对性能的考虑。在实现日志脱敏时,应该确保脱敏过程不会对应用程序的性能产生负面影响,并且要确保脱敏规则的准确性,以避免敏感信息泄露。

实现范例

在Logback中实现日志脱敏,可以通过使用第三方脱敏插件或自定义脱敏规则来完成。以下是一个简单的示例,展示了如何使用第三方插件sensitive-logback来实现日志脱敏:

  1. 引入依赖:首先,需要在项目的pom.xml文件中添加sensitive-logback的依赖。

    <dependency>
    <groupId>com.github.houbb</groupId>
    <artifactId>sensitive-logback</artifactId>
    <version>1.7.0</version>
</dependency>

    这个插件支持基于注解的方式进行日志脱敏,并且内置了常见的脱敏方式,便于开发。

  2. 配置Logback:在Logback的配置文件中,添加转换规则(conversionRule)来使用sensitive-logback提供的脱敏转换器。

    <configuration>
    <conversionRule conversionWord="sensitive" converterClass="com.github.houbb.sensitive.logback.converter.SensitiveLogbackConverter" />
    <appender name="STDOUTConverter" class="ch.qos.logback.core.ConsoleAppender">
        <encoder>
            <pattern>%d{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %sensitive%n</pattern>
        </encoder>
    </appender>
    <root level="DEBUG">
        <appender-ref ref="STDOUTConverter"/>
    </root>
</configuration>

    这里使用了SensitiveLogbackConverter来脱敏日志内容。

  3. 测试脱敏效果:在应用代码中记录日志,并检查输出的日志内容是否符合预期的脱敏效果。

    import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class LogTest {
    private static final Logger logger = LoggerFactory.getLogger(LogTest.class);

    public static void main(String[] args) {
        logger.info("Sensitive information: mobile: 13012345678, email: test@example.com");
    }
}

    在上述代码中,手机号和邮箱地址应该会被脱敏处理。

  4. 配置属性sensitive-logback插件允许通过配置文件chars-scan-config.properties来指定脱敏规则,这个配置文件应该放在应用的resources目录下。例如,可以指定手机号、邮箱、身份证号等的脱敏规则。

通过上述步骤,可以在Logback中实现日志脱敏,保护敏感信息不被记录在日志文件中。这种方法的好处是不需要修改业务代码,只需要通过配置即可实现脱敏,大大简化了脱敏的实现过程。

日志脱敏
weixin_44529823的博客
10-24 1121
java日志脱敏
开关电源技术中的电子电路知识科普
07-21
对于刚刚开始接触电源技术知识的新人...作为开关电源的核心电路,充分了解电子电路知识,对于新人工程师们在学习过程中综合各类电源技术知识是非常重要的,今天我们就来为大家科普一下开关电源技术中的电子电路知识
Java 日志数据脱敏方案,真的很给力
程序员高级码农的博客
02-18 1853
许多系统为了安全需要对敏感信息(如手机号、邮箱、姓名、身份证号、密码、卡号、住址等)的日志打印要求脱敏后才能输出,本文将结合个人经历及总结分享一种log4j日志脱敏方式。值匹配正则(如上文的手机号的第3分组到倒数第2分组):需要根据实际情况调整,特别是卡号、账号的规则,各家银行或有不同。:关键字后的符号,多个之间以英文|分隔,详见下文匹配说明。即对应第n对括号(从1开始),上图中共有7对括号,对于不符合如上的情况,请调整代码或修改匹配正则。:匹配2位数字,取值为3-9间的数字。日志打印规范,根据第2分组。
logback日志脱敏
weixin_30296405的博客
10-30 942
日志脱敏指的是:手机号,银行卡号,IP,邮箱,身份证号等敏感信息进行混淆~   跟踪源代码发现在LoggingEvent中进行的数据处理 getFormattedMessage 方法里添加正则表达式替换 1 private String getMessageByPattern(String inputMessage){ 2 ...
这个开源组件太强了,仅需三步完成 SpringBoot 日志脱敏
Java知音
07-12 812
点击关注公众号,实用技术文章及时了解前言在我们书写代码的时候,会书写许多日志代码,但是有些敏感数据是需要进行安全脱敏处理的。对于日志脱敏的方式有很多,常见的有①使用conversionRule标签,继承MessageConverter②书写一个脱敏工具类,在打印日志的时候对特定特字段进行脱敏返回。两种方式各有优缺点:第一种方式需要修改代码,不符合开闭原则。第二种方式,需要...
日志脱敏-参考
m0_48333563的博客
07-15 2875
参考
日志脱敏功能
yiqiu1959的博客
06-03 625
数据安全尤为重要,最为简单的防线就是防止重要信息(身份证、手机号、姓名等)明文显示,对此需要在数据库层、日志层等做好数据加解密。
项目日志脱敏
hhao0503的博客
02-07 1134
应合规要求。。。。巴拉、巴拉、巴拉。故对日志中客户的敏感信息进行脱敏便提上了日程。
数据脱敏技术发展现状及趋势研究.docx
09-20
### 数据脱敏技术发展现状及趋势研究 #### 摘要与引言解析 随着大数据技术的迅猛发展及其在各行各业的广泛应用,数据安全问题日益受到社会各界的高度关注。数据脱敏技术作为实现数据保护的一项关键技术,其重要性...
江西信息技术高考知识点汇总.pdf
10-06
"江西信息技术高考知识点汇总.pdf" 一、信息及其特征 * 信息的概念:数据、信号、消息中所包含的意义 * 信息的五个基本特征: 1. 普遍性 2. 依附性:信息不能独立存在,需要依附于一定的载体,但载体本身不是...
使用log4j2实现日志数据脱敏
05-08
使用log4j2实现日志数据脱敏
java 日志的数据脱敏的实现方法
08-26
今日给大家介绍一下java 日志的数据脱敏的实现方法,可以更好的保护数据的安全,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
网络安全知识竞赛网络安全知识科普题(含参考答案).docx
06-09
网络安全知识竞赛网络安全知识科普题(含参考答案) 网络安全知识竞赛网络安全知识科普题(含参考答案)全文共17页,当前为第1页。网络安全知识竞赛网络安全知识科普题(含参考答案)全文共17页,当前为第1页。网络安全...
太空、航天、火箭发射知识科普
最新发布
01-04
太空、航天、火箭发射知识科普
日志中进行脱敏处理
重燃小窗
09-25 4638
首先要写脱敏类,如下 @Slf4j public class SensitiveDataConverter extends MessageConverter { private static Pattern idCardPattern = Pattern.compile("(\\D)(\\d{6})([19,20]\\d{7})(\\d{3}[0-9Xx])(\\D)"); private static Pattern bankCardPattern = Pattern.compile("(\\D
日志脱敏处理
fivehundredyearsago的博客
09-16 813
<?xml version="1.0" encoding="UTF-8"?> <configuration scan="true" scanPeriod="60 seconds" debug="false"> <!-- 日志脱敏配置开始,format:SensitiveRulesEnum--> <property scope="context" name="SensitiveDataKeys" value='[ ...
配置文件及日志文件脱敏
qq_47386653的博客
08-23 1598
Jasypt是一个Java库,它允许开发者以最小的改动为项目添加基本的加密功能,而且不需要对密码学的工作原理有深刻的了解。
日志脱敏更加优雅性能更好,远超正则。支持 logback+log4j2 插件
04-08 3189
序号方法参数结果说明1desCopy()目标对象深度拷贝脱敏对象适应性更强2desJson()目标对象脱敏对象 json性能较好3目标对象集合深度拷贝脱敏对象集合4目标对象集合脱敏对象 json 集合通过注解,指定每一个字段的脱敏策略。数据准备bean.setUsername("张三");bean.setAddress("中国上海市浦东新区外滩18号");bean.setMaskAll("可恶啊我会被全部掩盖");
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

问道飞鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值