删除敏感数据
编辑删除敏感数据编辑
如果您不小心摄入了敏感数据,请按照以下步骤删除或屏蔽相关数据
- 停止收集敏感数据。使用 补救措施 敏感字段 表中的列来确定如何停止收集相关数据。
-
删除或屏蔽已摄入的数据。在修复数据收集后,您现在可以删除或屏蔽相关数据
屏蔽特定字段编辑
要屏蔽特定字段中的敏感数据,请使用 按查询更新 API。
例如,以下查询将从 logs-apm.error-default 数据流中的 APM 文档中删除 client.ip 地址
POST /logs-apm.error-default/_update_by_query
{
"query": {
"exists": {
"field": "client.ip"
}
}
"script": {
"source": "ctx._source.client.ip = params.redacted",
"params": {
"redacted": "[redacted]"
}
}
}
或者,您可能只想屏蔽来自欧洲用户的 IP 地址
POST /logs-apm.error-default/_update_by_query
{
"query": {
"term": {
"client.geo.continent_name": {
"value": "Europe"
}
}
},
"script": {
"source": "ctx._source.client.ip = params.redacted",
"params": {
"redacted": "[redacted]"
}
}
}
有关更多信息和示例,请参阅 按查询更新 API。
删除 Elasticsearch 文档编辑
这将永久删除您的数据。在删除数据之前,您应该使用 搜索 API 测试您的查询。
要删除 Elasticsearch 文档,您可以使用 按查询删除 API。
例如,要删除 apm-traces-* 数据流中具有 user.email 值的所有文档,请运行以下查询
POST /apm-traces-*/_delete_by_query
{
"query": {
"exists": {
"field": "user.email"
}
}
}
有关更多信息和示例,请参阅 按查询删除 API。