Ziel: Man möchte die IP-Adressen in einer Apache Logdatei anonymisieren, indem man das letzte Byte oder die zwei letzten Byte der IP-Adresse durch 0 ersetzt.
Lösungsmöglichkeit: Zeilenweises Durchsuchen der Logdatei mit dem Unix Werkzeug sed. Suchen der IP-Adressen und Ersetzen der Fundstellen mit der anonymiserten IP-Adresse.
Z. B. soll die IP-Adresse 123.123.123.123 durch die Adresse 123.123.0.0 ersetzt werden.
Dazu kann man folgenden Einzeiler verwenden:
sed -i -e 's/\([0-9]\{1,3\}\)\.\([0-9]\{1,3\}\)\.\([0-9]\{1,3\}\)\.\([0-9]\{1,3\}\)/\1\.\2\.0\.0/' access_log_ssl.log
Hier der Versuch einer Erklärung, ohne zu tief auf die regulären Ausdrücke, die in dem sed-Skript verwendet werden, einzugehen.
Vereinfacht sieht das sed-Skript wie folgt aus:
sed -i -e 's/SUCHMUSTER/ERSETZUNG/g' access_log.log
-e = Parameter der angibt, dass ein sed-Script folgt
‘s/SUCHMUSTER/ERSETZUNG/g’ = sed-Skript
SUCHMUSTER = Muster, nach dem gesucht werden soll
ERSETZUNG = Text, mit dem das Suchmuster ersetzt werden soll
access_log.log = Eingabedatei
-i = Inplace Bearbeitung – die Änderungen werden direkt an der Eingabedatei ausgeführt
Sollen die Änderungen in einer Kopie gespeichert werden, dann wird sed ohne den -i Parameter benutzt und die Ausgabe in eine neue Datei umgeleitet.
sed -e 's/SUCHMUSTER/ERSETZUNG/g' access_log.log > bearbeitet.log
In diesem Fall bleibt die Eingabedatei unverändert und die Änderungen werden in der Datei bearbeitet.log gepeichert.
Jetzt zu dem konkreten Beispiel:
Der besseren Lesbarkeit halber wurden die vielen Maskierungen mit dem Zeichen \ entfernt. Diese werden aber in dem eigentlichen sed-Skript benötigt.
Hier das Suchmuster in unserem sed-Skript:
([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3})
[0-9] = Die Zeichen 0-9, also 0123456789 werden an dieser Stelle gesucht
{1,3} = Die Zeichen [0-9] müssen 1 bis 3 mal auftreten
([0-9]{1,3}) = Die Klammern kennzeichnen eine Einheit in dem Suchmuster, auf die anschließend beim Ersetzten zugegriffen werden kann
([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}) = Das Muster muss vier Mal, getrennt duch einen Punkt, hintereinander auftreten.
Damit hat man aber keine hundertprozentige Sicherheit, dass nur gültige IPv4 Adressen von dem Suchmuster gefunden werden. Ungültige Adressen wie z.B. 999.999.999.999 würden duch das Suchmuster auch gefunden.
Für unseren Anwendungsfall reicht das vereinfachte Suchmuster aber vollkommen aus.
Jetzt zu dem ersetzen Teil des sed-Skripts. Auch hier sind die Maskierungen durch das Zeichen \ weggelassen.
\1.\2.0.0
\1 = Die erste mit Klammern definierte Einheit im Suchmuster
\2 = Die zweite mit Klammern definierte Einheit im Suchmuster; analog dazu könnte man noch \3 und \4 für die dritte und vierte Einheit im Suchmuster benutzen. \1.\2.\3.\4 würde die ursprüngliche IP unverändert ausgeben.
0 = Die Ziffer 0
Der Ersetzen-Teil des sed-Skripts bedeutet also, dass eine gefundene IP-Adresse mit ihren ersten zwei Bytes und mit einer Null als drittes und viertes Byte ersetzt werden sollen.
Das ist cool. Aber wie lässt sich Apache/Plesk konfigurieren, dass die IP nicht nur in den Logfiles, sondern generell gekürzt wird, also z.B. auch in der PHP Server-Variable $_SERVER[‘REMOTE_ADDR’] ?
Dadurch würden WordPress und co auch keine vollständige IP Adresse mehr weitergeleitet bekommen und wären somit auch gleich datenschutzkonform in diesem Land.
Viele Grüße