删除敏感数据
编辑删除敏感数据
编辑如果您意外摄入了敏感数据,请按照以下步骤删除或修改有问题的敏感数据。
- 停止收集敏感数据。使用补救措施列中的敏感字段表来确定如何停止收集有问题的敏感数据。
-
删除或修改已摄入的数据。修复数据收集问题后,您可以删除或修改有问题的敏感数据。
要修改特定字段中的敏感数据,请使用根据查询更新 API。
例如,以下查询将从logs-apm.error-default数据流中的APM文档中删除client.ip地址。
POST /logs-apm.error-default/_update_by_query
{
"query": {
"exists": {
"field": "client.ip"
}
}
"script": {
"source": "ctx._source.client.ip = params.redacted",
"params": {
"redacted": "[redacted]"
}
}
}
或者,您可能只想修改欧洲用户的IP地址。
POST /logs-apm.error-default/_update_by_query
{
"query": {
"term": {
"client.geo.continent_name": {
"value": "Europe"
}
}
},
"script": {
"source": "ctx._source.client.ip = params.redacted",
"params": {
"redacted": "[redacted]"
}
}
}
有关更多信息和示例,请参阅根据查询更新 API。
这将永久删除您的数据。在删除数据之前,您应该使用搜索 API测试您的查询。
要删除 Elasticsearch 文档,您可以使用根据查询删除 API。
例如,要删除apm-traces-*数据流中所有具有user.email值的文档,请运行以下查询:
POST /apm-traces-*/_delete_by_query
{
"query": {
"exists": {
"field": "user.email"
}
}
}
有关更多信息和示例,请参阅根据查询删除 API。