是否有任何方法可以使用正则表达式或类似表达式清除/屏蔽日志分析工作区中的数据,以便能够删除已发送到工作区的敏感数据?就像社会安全号码一样,这是URL的一部分吗?
- 根据本Microsoft文档,日志分析是一个灵活的存储,在为数据指定架构的同时,允许您用自定义值覆盖每个字段。我们可以在日志分析工作区中屏蔽数据,这里有一些方法可以设置一些处理个人数据的策略
在可能的情况下,停止收集、模糊处理、匿名化或以其他方式调整正在收集的数据,以将其排除在考虑范围之外;私人的";。这是到目前为止的首选方法,使您无需创建成本高昂且有影响力的数据处理策略。在不可能的情况下,尝试将数据标准化,以减少对数据平台和性能的影响。例如,不记录显式的用户ID,而是创建一个查找数据,将用户名及其详细信息与内部ID关联起来,然后可以在其他地方记录。这样,如果您的某个用户要求您删除他们的个人信息,则可能只删除查找表中与该用户对应的行就足够了。最后,如果必须收集私有数据,请围绕清除API路径和现有查询API路径构建一个流程,以满足您在导出和删除与用户关联的任何私有数据时可能承担的任何义务。
- 这是用于验证日志分析中的私有数据的KQL查询
search *
| where * matches regex @'b((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)(.|$)){4}b' //RegEx originally provided on https://stackoverflow.com/questions/5284147/validating-ipv4-addresses-with-regexp
| summarize count() by $table