Ich hatte gestern eine Aufgabe, f\u00fcr die ich zun\u00e4chst keine einfache L\u00f6sung gesehen habe: Ich wollte in den Apache-Logfiles die IP-Adressen anonymisieren. Also aus den geloggten IP-Adressen Teile entfernen um noch ein rudiment\u00e4res Logging der einzelnen Besucher zu haben, aber nicht mehr ihre kompletten IPs mitzuschreiben.<\/p>\n
So sollte aus einer 212.122.113.145 eine ***.***.*13.145 werden.
\nDies sollte – um m\u00f6glichst grosse Sicherheit zu garantieren – nicht nachtr\u00e4glich geschehen, sondern live im Logvorgang des Apache.
\nEs sollten also niemals die kompletten IPs auf der Platte landen<\/p>\n
Nach etwas Recherche bin ich auf eine mir bis dahin unbekannte Apache-Funktionalit\u00e4t gestossen: PipedLogs.<\/p>\n
PipedLogs erm\u00f6glichen es in der Apachekonfiguration f\u00fcr einen VirtualHost nicht einen Logfile anzugeben sondern ein Skript festzulegen, das bei jedem Logvorgang gestartet wird und als Standardeingabe die Logzeile vom Apache erh\u00e4lt.<\/p>\n
In der Config vom entsprechenden VirtualHost sieht das Ganze so aus:<\/p>\n
\r\nLogFormat \"%h %l %u %t \\\"%r\\\" %>s %b\" common\r\nCustomLog \"|\/root\/scripts\/anonymize_apache\" common\r\n<\/pre>\nJeder Logentry wird somit durchgereicht an das Script \/root\/scripts\/anonymize_apache<\/p>\n
Der Rest ist nur noch eine Kleinigkeit mit der BASH:<\/p>\n
\r\n#!\/bin\/bash\r\n\r\n#\/root\/scripts\/anonymize_apache\r\n\r\n# Von Standardeingabe lesen\r\nread logline\r\n\r\n# Mit sed die gew\u00fcnschten Teile der IP wegschnippseln\r\nanon=$(echo $logline | sed -r 's\/^[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]\/***.***.*\/g' )\r\n\r\n# Das Ergebnis anonymisiert ins Logfile zur\u00fcckschreiben \r\necho $anon >> \/var\/log\/apache2\/myvirtualhost.anon.log\r\n\r\n<\/pre>\n