如何不在 nginx 访问日志中记录获取请求参数？

Question

我需要启用访问日志，但出于合规性原因，无法在访问日志中记录敏感的 GET 请求参数数据。虽然我知道，我可以解析日志（事后）并对其进行清理，但这不是一个可接受的解决方案——因为出于合规性原因，日志不能被篡改。

http://www.example.com/resource?param1=123&sensitive_param=sensitive_data

如何防止将“sensitive_data”参数值写入日志？以下是一些想法：

• 在 POST 请求中发送 - 不是 JSONP 的选项。
• 为“资源”使用新的位置规则并设置访问日志以使用 log_format 使用不同的格式（即不使用 $remote_addr）。请参阅此内容以供参考：http://nginx.org/en/docs/http/ngx_http_log_module.html
• 记录一个 $sanitized_remote_addr，并在它写入日志之前对其进行设置（以某种方式解析 $remote_addr 或其他内容？）。我们不确定这是否容易实现。

这应该怎么做？

Answer 1

上一个答案将不起作用，因为log_format 模块只能在http 级别配置中使用。

为了解决这个问题，我们可以从 location 指令中删除 log_format 配置，并将其保留在 http 级别配置中。

http {

    log_format filter '$remote_addr - $remote_user [$time_local] '
        '"$temp" $status $body_bytes_sent "$http_referer" "$http_user_agent"';

    # Other Configs
}

log_format 指令可以在我们的location 指令块中定义变量。

所以最终配置如下：

http {

    log_format filter '$remote_addr - $remote_user [$time_local] '
        '"$temp" $status $body_bytes_sent "$http_referer" "$http_user_agent"';

    # Other Configs

    server {
        #Server Configs
        location / {
            set $temp $request;
            if ($temp ~ (.*)password=[^&]*(.*)) { 
                set $temp $1password=****$2;
            }

            access_log /opt/current/log/nginx_access.log filter;
        }
    }
}

Answer 2

目前我找到的解决方案是here。简而言之：

location /any_sensitive... {
    # Strip password in access.log
    set $temp $request;
    if ($temp ~ (.*)password=[^&]*(.*)) {
        set $temp $1password=****$2;
    }

    log_format filter '$remote_addr - $remote_user [$time_local] '
        '"$temp" $status $body_bytes_sent "$http_referer" "$http_user_agent"';

    access_log logs/access.log filter;
}

也许这曾经在某个时候起作用，现在它说：

nginx: [emerg] unknown "temp" variable

或

nginx: [warn] the "log_format" directive may be used only on "http" level in ...