Web 应用程序防火墙 (WAF) 日志清理工具可帮助你从 WAF 日志中删除敏感数据。 它的工作原理是使用规则引擎来生成自定义规则来标识包含敏感数据的请求的特定部分。 标识后,该工具会从日志中清理该信息,并将其替换为 *******。
注释
启用日志清理功能时,Microsoft仍保留内部日志中的 IP 地址以支持关键安全功能。
下表显示了日志清理规则的示例,这些规则可用于保护敏感数据:
| 匹配变量 | Operator | Selector | 被清理的内容 |
|---|---|---|---|
| 请求标头名称 | 等于 | keytoblock | {“matchVariableName”:“HeaderValue:keytoblock”,“matchVariableValue”:“****”} |
| 请求 Cookie 名称 | 等于 | cookietoblock | {“matchVariableName”:“CookieValue:cookietoblock”,“matchVariableValue”:“****”} |
| 请求正文发布 Arg 名称 1 | 等于 | var | {“matchVariableName”:“PostParamValue:var”,“matchVariableValue”:“****”} |
| 请求正文 JSON 参数名称 1 | 等于 | JsonValue | {“matchVariableName”:“JsonValue:key”,“matchVariableValue”:“****”} |
| 查询字符串 Arg 名称 | 等于 | foo | {“matchVariableName”:“QueryParamValue:foo”,“matchVariableValue”:“****”} |
| 请求 IP 地址 2 | 等于 Any | Null | {“matchVariableName”:“ClientIP”,“matchVariableValue”:“****”} |
| 请求 URI | 等于 Any | Null | {“matchVariableName”:“URI”,“matchVariableValue”:“****”} |
1 如果请求触发扫描请求正文的规则,并且内容类型为或,application/x-www-form-urlencodedapplication/jsonWAF 将从日志中清除所有请求详细信息,以防止任何潜在的 PII 存储。
2 请求 IP 地址和请求 URI 规则仅支持 等于任何 操作员,并清理请求者 IP 地址的所有实例,这些实例显示在 WAF 日志中。
有关详细信息,请参阅 什么是 Azure Front Door 敏感数据保护上的 Azure Web 应用程序防火墙?
启用敏感数据保护
使用以下信息启用和配置敏感数据保护。
若要启用敏感数据保护,请执行以下作:
- 打开现有的 Front Door WAF 策略。
- 在 “设置”下,选择 “敏感数据”。
- 在 “敏感数据 ”页上,选择“ 启用日志清理”。
若要为敏感数据保护配置日志清理规则,请执行以下作:
- 在 “日志清理规则”下,选择 一个 Match 变量。
- 选择 运算符 (如果适用)。
- 键入 选择器 (如果适用)。
- 选择“保存”。
重复添加更多规则。
验证敏感数据保护
若要验证敏感数据保护规则,请打开 Front Door 防火墙日志并搜索 ****** 以代替敏感字段。