在Nginx中匿名记录IP登录？

| 为了尊重用户的隐私，我正在尝试在nginx日志文件中匿名化其IP地址。一种方法是定义自定义日志格式，如下所示：

log_format noip \'127.0.0.1 - [$time_local]  \'
    \'\"$request\" $status $body_bytes_sent \'
    \'\"$http_referer\" \"$http_user_agent\" $request_time\';

这种方法有两个缺点：我无法区分两个用户，也无法使用地理位置工具。最好的办法是“缩短” IP地址（87.12.23.55将变成87.12.23.1）。是否可以使用Nginx配置脚本实现此目的？谢谢。

已邀请:

4 个回复

扦帽次杏

即使已经有一个可接受的答案，该解决方案似乎也不有效。 nginx具有log_format指令，该指令具有http上下文。这意味着只能在配置文件的http {}部分中（不能在服务器部分中）设置log_format（有效）！另一方面，我们有一个if指令，它具有服务器和位置的上下文。因此，我们不能在服务器部分中使用“ if”和“ log_format”（在公认的解决方案中完成）因此，如果在这里没有帮助，那么如果还是邪恶的话（http://wiki.nginx.org/IfIsEvil）！我们需要在http上下文中工作的东西，因为只有在那儿才能以有效的方式定义log_format，并且这是服务器上下文之外定义虚拟主机的唯一位置。幸运的是，nginx中有一个地图功能！ map正在将某些值重新映射为新值（可以在log_format指令中使用的变量中访问）。好消息是：这也适用于正则表达式。因此，让我们将IPv4和IPv6地址映射为匿名地址。这必须分3个步骤完成，因为map无法累积返回的值，因此只能返回字符串或变量，而不能同时返回两者。因此，首先，我们在日志文件中获取要拥有的IP部分，第二个映射返回象征匿名部分的部分，第三个映射规则再次将它们映射在一起。以下是进入http {}上下文的规则：

map $remote_addr $ip_anonym1 {
 default 0.0.0;
 \"~(?P<ip>(\\d+)\\.(\\d+)\\.(\\d+))\\.\\d+\" $ip;
 \"~(?P<ip>[^:]+:[^:]+):\" $ip;
}

map $remote_addr $ip_anonym2 {
 default .0;
 \"~(?P<ip>(\\d+)\\.(\\d+)\\.(\\d+))\\.\\d+\" .0;
 \"~(?P<ip>[^:]+:[^:]+):\" ::;
}

map $ip_anonym1$ip_anonym2 $ip_anonymized {
 default 0.0.0.0;
 \"~(?P<ip>.*)\" $ip;
}

log_format anonymized \'$ip_anonymized - $remote_user [$time_local] \' 
   \'\"$request\" $status $body_bytes_sent \' 
   \'\"$http_referer\" \"$http_user_agent\"\';

access_log /var/log/nginx/access.log anonymized;

将其添加到您的nginx.conf配置文件后，请记住重新加载您的nginx。如果您使用的是“匿名”日志格式（这是access_log指令的format参数），则您的日志文件现在应包含经过标准化处理的IP地址。

氮顺

被接受的答案似乎有点肿。从nginx 1.11版开始，可以通过以下方式进行操作：

map $remote_addr $remote_addr_anon {
    ~(?P<ip>\\d+\\.\\d+\\.\\d+)\\.    $ip.0;
    ~(?P<ip>[^:]+:[^:]+):       $ip::;
    default                     0.0.0.0;
}