Tomcatアクセスログエントリの消毒

StackOverflow https://stackoverflow.com/questions/5812238

質問

私たちのログでは、CC情報を使用してアプリのULRの一部にヒットした人のために、クレジットカードの番号が表示されます(なぜ彼らがこれをしているのかわかりません)。この情報を(PCIの考慮事項のために)サニタイズし、ディスクに持続することさえしません。

したがって、ログエントリがログファイルに当たる前に、ログエントリを消毒できるようにしたいと考えています。 Tomcat Valves(アクセスログバルブ)を見てきました。これは行く方法ですか?

役に立ちましたか?

解決

拡張することでこの問題を解決することができました AccessLogValve そしてオーバーライド public log(java.lang.String message):

public class SanitizedAccessLogValve extends AccessLogValve {

    private static Pattern pattern = Pattern.compile("\\b(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9]{13}|3(?:0[0-5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\\d{3})\\d{11})\\b");

    /*
     This method will sanitize any cc numbers in the string and replace them with x's
    */
    private String sanitize(String string) {
        String sanitizedString = string;

        if(string != null) {

            StringBuffer buffer = new StringBuffer();
            Matcher matcher = pattern.matcher(string);

            while(matcher.find()) {
                MatchResult matchResult = matcher.toMatchResult();

                int start = matchResult.start();
                int end = matchResult.end();

                String matchedText = string.substring(start, end);

                matcher.appendReplacement(buffer, "xxxxxxxxxxxxxxxx");                
            }

            matcher.appendTail(buffer);

            sanitizedString = buffer.toString();
        }

        return sanitizedString;
    }

    @Override
    public void log(String message) {
        super.log(sanitize(message));
    }
}

これを瓶にコンパイルしてから、そのjarファイルをに置く必要があります $CATALINA_HOME/lib.

それからあなたの中で server.xml:

<Valve className="my.valves.SanitizedAccessLogValve"
       directory="access_logs"  prefix="localhost." suffix=".log"
       pattern='%v %h %t "%r" %s %B %T "%{User-Agent}i"'/>
ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top