删除敏感数据
Elastic Stack
如果您不小心摄取了敏感数据,请按照以下步骤删除或编辑违规数据。
停止收集敏感数据。 使用敏感字段表中的补救措施列,以确定如何停止收集违规数据。
删除或编辑摄取的数据。 修复数据收集后,您现在可以删除或编辑违规数据。
要编辑特定字段中的敏感数据,请使用按查询更新 API。
例如,以下查询从 logs-apm.error-default 数据流中的 APM 文档中删除 client.ip 地址
POST /logs-apm.error-default/_update_by_query {
"query": {
"exists": {
"field": "client.ip"
}
}
"script": {
"source": "ctx._source.client.ip = params.redacted",
"params": {
"redacted": "[redacted]"
}
}
}
或者,您可能只想编辑欧洲用户的 IP 地址
POST /logs-apm.error-default/_update_by_query {
"query": {
"term": {
"client.geo.continent_name": {
"value": "Europe"
}
}
},
"script": {
"source": "ctx._source.client.ip = params.redacted",
"params": {
"redacted": "[redacted]"
}
}
}
有关更多信息和示例,请参阅按查询更新 API。
警告
这将永久删除您的数据。 在删除数据之前,您应该使用搜索 API测试您的查询。
要删除 Elasticsearch 文档,您可以使用按查询删除 API。
例如,要删除 apm-traces-* 数据流中具有 user.email 值的所有文档,请运行以下查询
POST /apm-traces-*/_delete_by_query {
"query": {
"exists": {
"field": "user.email"
}
}
}
有关更多信息和示例,请参阅按查询删除 API。