揭秘如何通过日志服务实现个人敏感信息保护

揭秘如何通过日志服务实现个人敏感信息保护

1. 实验资源方式简介及开始实验

云起实验室实验资源方式介绍

云起实验室支持实验资源体验、领取免费试用额度、个人账户资源三种实验资源方式。

• 实验资源体验

• 资源归属于客户，仅供本次实验使用
  
• 实验结束后，实验资源及实验记录将被释放。
  
• 资源创建过程需要3～5分钟（视资源不同开通时间有所差异，ACK等资源开通时间较长）。完成实验资源的创建后，在实验室页面左侧导航栏中，单击云产品资源列表，可查看本次实验资源相关信息（例如子用户名称、子用户密码、AK ID、AK Secret、资源中的项目名称等）。
  
• 说明：实验环境一旦开始创建则进入计时阶段，建议学员先基本了解实验具体的步骤、目的，真正开始做实验时再进行创建。
  

• 领取免费试用额度

• 使用个人账号开通试用，平台仅提供手册参考。
  
• 所有实验操作将保留至您的账号，请谨慎操作。
  
• 在实验页面下方卡片会展示本实验支持的试用规格，可以选择你要试用的云产品资源进行开通。您在实验过程中，可以随时用右下角icon唤起试用卡片。阿里云支持试用的产品列表、权益及具体规则说明请参考开发者试用中心。
  
• 说明：试用云产品开通在您的个人账号下，并占用您的试用权益。如试用超出免费试用额度，可能会产生一定费用。
  

• 个人账户资源

• 使用您个人的云资源进行操作，资源归属于个人。
  
• 所有实验操作将保留至您的账号，请谨慎操作。
  
• 平台仅提供手册参考，不会对资源做任何操作。
  
• 说明：使用个人账户资源，在创建资源时，可能会产生一定的费用，请您及时关注相关云产品资源的计费概述。
  

准备开始实验

在实验开始前，请您选择其中一种实验资源，单击确认开启实验。

说明：每个实验所支持的实验资源方式都不相同，实验不一定能满足有三种实验资源方式，请根据实验的实际情况，进行选择。

2. 领取免费实验资源

实验前必看！

• 如果您的阿里云主账号符合开通免费试用的资格，建议您开通免费试用日志服务，日志服务免费试用时长为3个月，每个月100CU额度，超出免费额度的用量，计入按量付费，会产生后付费账单，具体计费详情，请参见计费概述。
  
• 如果您的阿里云账号只能领取部分免费试用产品，请您领取符合免费试用资格的产品，然后进入实验，不满足免费试用资格的产品将会使用个人账户资源进行创建，并会产生一定的费用，请您及时关注账户扣费。
  
• 为了避免资源浪费并造成账号扣费的情况，请严格按照本文提供的参数进行配置。在实验完成之后，请您及时删除或禁用压测任务。
  

1. 在实验开始前，请您选择开通免费试用。
   

2. 开通日志服务SLS免费试用。
   

2.1 在实验室页面下方，选择日志服务SLS，单击立即试用。

2.2 在日志服务SLS面板上，选中服务协议，单击立即试用。

3. 领取完免费试用后，返回资源领取界面，单击我已开通，进入实验。
   

说明：如果您的阿里云账号只能领取部分免费试用产品，请您领取符合免费试用资格的产品，然后进入实验，不满足免费试用资格的产品将会使用个人账户资源进行创建，并会产生一定的费用，请您及时关注账户扣费。

3. 创建资源

开通日志服务SLS。

说明：

• 如果您选择的免费试用，并且在上一步骤中领取了日志服务SLS免费试用，请您跳过本步骤，直接进行下一小节操作。
  
• 如果您选择的免费试用，但是您的阿里云主账号没有资格领取日志服务SLS的免费试用，请您根据如下操作，开通日志服务SLS，进行按量付费，会产生后付费账单，具体计费详情，请参见计费概述。
  
• 如果您选择的个人资源，请您根据如下操作，开通日志服务SLS，进行按量付费，会产生后付费账单，具体计费详情，请参见计费概述。
  

1. 登录日志服务控制台。
   
2. 根据页面提示，开通日志服务。
   

4. 创建原始数据

本步骤将指导您如何创建NGINX模拟数据。

1. 双击打开虚拟桌面的Chromium浏览器。
   
2. 在RAM用户登录框中单击下一步，并复制粘贴页面左上角的子用户密码到用户密码输入框，单击登录。
   
3. 复制下方地址，在Chromium浏览器打开新页签，粘贴并访问日志服务控制台。
   

https://sls.console.aliyun.com/

4. 在日志服务控制台下方的Project列表中，选择Project资源所在地域，然后单击Project名称。
   

说明：您可以在云产品资源列表中查看Project资源所在地域和Project名称。

5. 在日志存储页面左侧，单击日志库下的 图标。
   

6. 在创建Logstore对话框中，输入Logstore名称，打开WebTracking开关，然后单击确定。
   

参数说明：

• Logstore名称：输入nginx-access-log。
  
• WebTracking：打开WebTracking开关，您可以通过WebTracking从HTML、H5、iOS或Android上采集数据到日志服务。
  

7. 在创建成功对话框中，单击取消。
   

8. 在日志存储页面左侧，选择日志库>您的Logstore>数据接入>模拟接入，然后单击 图标。
   

9. 在快速接入面板中，单击NGINX访问日志下的模拟接入。
   

10. 在模拟接入页面，单击开始导入。
    

11. 在模拟接入页面，等待大约一分钟，模拟数据生成后，单击开始使用。
    

返回如下页面，您可以看到生成的NGINX模拟数据，数据中的客户端IP字段remote_addr和访问者用户名字段remote_user没有脱敏，信息安全隐患非常大。

5. 创建原始数据

1. 前往日志服务控制台，在Project列表区域，单击创建Project。
   

2. 在创建Project面板，根据如下说明配置Project，然后单击创建。
   

• 所属地域：默认选择即可。
  
• Project名称：shiyantest1。
  

3. 在创建Project对话框中，单击关闭。
   

4. 在Project列表区域，单击您创建的Project。
   

5. 在日志存储页面左侧，单击日志库下的 图标。
   

说明：如果在后续操作中，出现了“没有权限"类型的弹窗，直接关闭弹窗即可，不影响实验进行。

6. 在创建Logstore对话框中，输入Logstore名称，打开WebTracking开关，然后单击确定。
   

参数说明：

• Logstore名称：输入nginx-access-log。
  
• WebTracking：打开WebTracking开关，您可以通过WebTracking从HTML、H5、iOS或Android上采集数据到日志服务。
  

7. 在创建成功对话框中，单击取消。
   

8. 在日志存储页面左侧，选择日志库>您的Logstore>数据接入>模拟接入，然后单击 图标。
   

9. 在快速接入面板中，单击NGINX访问日志下的模拟接入。
   

10. 在模拟接入页面，单击开始导入。
    

11. 在模拟接入页面，等待大约一分钟，模拟数据生成后，单击开始使用。
    

返回如下页面，您可以看到生成的NGINX模拟数据，数据中的客户端IP字段remote_addr和访问者用户名字段remote_user没有脱敏，信息安全隐患非常大。

6. 数据脱敏

本步骤将指导您如何创建数据加工任务，对原数据进行脱敏。

1. 在日志存储页面左侧，单击日志库下的 图标。
   

2. 在创建Logstore对话框中，输入Logstore名称，打开WebTracking开关，然后单击确定。
   

说明 ：该Logstore用来存储脱敏后的数据。

参数说明：

• Logstore名称：输入nginx-access-log-fmt。
  
• WebTracking：打开WebTracking开关，您可以通过WebTracking从HTML、H5、iOS或Android上采集数据到日志服务。
  

3. 在创建成功对话框中，单击取消。
   

4. 在日志存储页面左侧，单击nginx-access-log-fmt。
   

5. 在错误对话框中，单击确定。
   

6. 在nginx-access-log-fmt页签右上方，单击开启索引。
   

7. 在查询分析面板中，打开全文索引，单击确定。
   

8. 在查询分析设置对话框中，单击确认。
   

9. 在nginx-access-log-fmt页签左侧，单击nginx-access-log。
   

10. 在nginx-access-log页签，单击数据加工。
    

11. 在nginx-access-log数据加工页签，输入如下加工语句，单击保存数据加工。
    

e_set("remote_addr", regex_replace(v("remote_addr"), grok("(%{IP})"), replace=r"*.*.*.*"))
e_set("remote_user", regex_replace(v("remote_user"), r"(\S)\S+", replace=r"\1****"))

12. 在创建数据加工规则面板，输入规则名称，单击添加，然后配置存储目标，时间范围选择为所有，单击确定。
    

参数说明：

• 规则名称：自定义规则名称，例如mask-sensitive-info。
  
• 目标名称：存储目标的名称，输入nginx-access-log-fmt。
  
• 目标Region：选择您的Project资源所在地域。
  
• 目标Project：选择您的Project名称。
  
• 目标库：选择nginx-access-log-fmt。
  
• 时间范围：选择所有。
  

13. 在创建结果对话框中，单击确认。
    

14. 在nginx-access-log页签左侧，单击nginx-access-log-fmt。
    

15. 在nginx-access-log-fmt页签右上方，单击查询/分析。
    

返回如下页面，您可以看到NGINX模拟数据中的客户端IP字段remote_addr和访问者用户名字段remote_user已经脱敏。

7. 查看数据加工任务及开启监控告警

本步骤将指导您如何查看数据加工任务及开启监控告警。

1. 在日志存储页面左侧，选择日志库>nginx-access-log>数据处理>加工>您的数据加工任务（例如下图的mask-sensitive-info）。
   

返回如下页签，您可以看到数据加工任务详情和执行状态。

2. 在数据加工概览页签的执行状态区域，单击开启监控。
   

3. 在告警中心页签，选择所有监控规则，单击开启。
   

4. 在提示对话框中，单击确定。
   

返回如下页面，当状态为已开启时，表示您已成功开启监控，日志服务会在数据加工存在异常时，为您发送告警通知，便于您快速发现数据加工过程中的异常问题。

8. 清理及后续

清理

SLS提供3个月100 CU的免费试用资源。完成教程后，请参考以下场景处理SLS资源：

• 如果无需继续使用日志服务，您可以登录日志服务控制台，进入目标Project，然后在左侧日志库列表中单击目标日志库，单击 > 删除，删除日志库。最后在日志服务控制台首页，删除目标Project。
  
• 如果需继续使用日志服务，请务必至少在存储包试用到期1小时前为您的阿里云账号充值或购买新的存储包。欠费后如果在延停权益额度内，您的服务将不会受到停服影响。欠费后如果超出了延停权益额度，日志服务将自动停止。而您所占用的存储资源仍会继续扣费，因此欠费会累积。如果您在日志服务停服后7天内充值补足欠费，日志服务会自动启用。停服超过7天，将视为您主动放弃服务，日志服务Project将被回收，数据会被清理且不可恢复。请注意，数据清理之前仍会继续计费，若您确认不再使用日志服务，请务必删除日志服务上的资源。
  

后续

在试用有效期期间，您还可以测试的其它业务场景继续使用日志服务。

9. 清理及后续

清理

完成教程后，请参考以下场景处理SLS资源：

• 如果无需继续使用日志服务，您可以登录日志服务控制台，进入目标Project，然后在左侧日志库列表中单击目标日志库，单击 > 删除，删除日志库。最后在日志服务控制台首页，删除目标Project。
  
• 如果需继续使用日志服务，请及时关注账户扣费情况。欠费后如果在延停权益额度内，您的服务将不会受到停服影响。欠费后如果超出了延停权益额度，日志服务将自动停止。而您所占用的存储资源仍会继续扣费，因此欠费会累积。如果您在日志服务停服后7天内充值补足欠费，日志服务会自动启用。停服超过7天，将视为您主动放弃服务，日志服务Project将被回收，数据会被清理且不可恢复。请注意，数据清理之前仍会继续计费，若您确认不再使用日志服务，请务必删除日志服务上的资源。
  

后续

在产品有效期期间，您还可以测试的其它业务场景继续使用日志服务。

实验链接：https://developer.aliyun.com/adc/scenario/904ff702016d4663a041a27ec3fac835