概要

このガイドでは、ログ内のメール アドレスを、特定のメール ドメイン (例: @test.com) からのものを除いてすべてマスクする方法を説明します。

ログ パイプラインに Grok Parser を設定する

マスク対象外にしたいメール ドメインが既存のログ属性として存在しない場合は、すべてのログからそのメール ドメインを識別して属性として追加できるよう、Grok Parser を設定します。

1. Log Pipeline に移動します。
2. パイプラインを選択します。
3. Add processor をクリックします。
4. Grok Parser を選択します。
5. Grok Parser の名前を入力します。
6. メール アドレスを含むすべてのログを識別するためのパース ルールを定義します。たとえば、このドメインのメール アドレスを含むログ メッセージがある場合:

   message successfully sent to 123@test.com
   

   message successfully received from 256@test.com
   

   次のパース ルールを使用します:

   MyParsingRule1 message successfully sent to %{notSpace:user_handle}@%{notSpace:domain}
   
   MyParsingRule2 message successfully received from %{notSpace:user_handle}@%{notSpace:domain}
   

   注: ユーザー名を保持する必要はありません。たとえば、ドメイン test.com を持つすべてのメールをマスクしたい場合、hello@test.com のようなメール アドレスでは、ユーザー名 hello は破棄し、ドメイン test.com のみを保持します。
7. Save をクリックします。

新しく取り込まれるログで該当のメールが期待どおりに処理されていることを確認するため、Log Explorer に移動します。

メール ドメイン属性をファセットとして追加する

1. Log Explorer で、指定したドメインのメールを含むログを選択します。
2. 作成した domain 属性の横にある歯車アイコンをクリックします。
3. Create facet for… を選択します。
4. 必要に応じて、Advanced Options セクションでファセットをグループに追加します。
5. Add をクリックします。

Sensitive Data Scanner の scanning group を構成して、ドメイン属性を持つログを除外する

作成したドメイン属性を持つログを除外するように Sensitive Data Scanner の scanning group を更新し、指定したメール ドメインを持たないログだけがマスクされるようにします。

1. Sensitive Data Scanner の Configuration ページに移動します。
2. 更新したい scanning group の左側にある鉛筆アイコンをクリックします。
3. Filter フィールドにドメイン属性を追加して、その属性を持つログを除外します。たとえば、メール ドメイン test.com のログを除外するには、フィルター クエリに -@domain:test.com を追加します。

4. Update をクリックします。

新しく取り込まれるログで、指定したドメインのメールがマスクされていないことを確認するため、Log Explorer に移動します。

参考資料

お役に立つドキュメント、リンクや記事:

Sensitive Data Scanner のセット アップドキュメント