ログ編集

TiDBが詳細なログ情報を提供すると、機密データ（ユーザーデータなど）がログに出力され、データのセキュリティリスクが発生する可能性があります。このようなリスクを回避するために、各コンポーネント（TiDB、TiKV、およびPD）は、ログの編集によってユーザーデータ値を保護できる構成項目を提供します。

TiDB側でのログ編集

TiDB側でログ編集を有効にするには、 global.tidb_redact_logから1の値を設定します。この構成値のデフォルトは0です。これは、ログの編集が無効になっていることを意味します。

set構文を使用して、グローバル変数tidb_redact_logを設定できます。

set @@global.tidb_redact_log=1;

設定後、新しいセッションで生成されたすべてのログが編集されます。

create table t (a int, unique key (a));
Query OK, 0 rows affected (0.00 sec)

insert into t values (1),(1);
ERROR 1062 (23000): Duplicate entry '1' for key 'a'

上記のINSERTステートメントのエラーログは次のように出力されます。

[2020/10/20 11:45:49.539 +08:00] [INFO] [conn.go:800] ["command dispatched failed"] [conn=5] [connInfo="id:5, addr:127.0.0.1:57222 status:10, collation:utf8_general_ci,  user:root"] [command=Query] [status="inTxn:0, autocommit:1"] [sql="insert into t values ( ? ) , ( ? )"] [txn_mode=OPTIMISTIC] [err="[kv:1062]Duplicate entry '?' for key 'a'"]

上記のエラーログから、 tidb_redact_logを有効にすると?を使用してすべての機密情報が保護されていることがわかります。このようにして、データセキュリティのリスクが回避されます。

TiKV側でのログ編集

TiKV側でログ編集を有効にするには、 security.redact-info-logからtrueの値を設定します。この構成値のデフォルトはfalseです。これは、ログの編集が無効になっていることを意味します。

PD側のログ編集

PD側でログ編集を有効にするには、 security.redact-info-logの値を設定しtrue 。この構成値のデフォルトはfalseです。これは、ログの編集が無効になっていることを意味します。

TiFlash側でのログ編集

TiFlash側でログ編集を有効にするには、tiflash-serverのsecurity.redact_info_logの値とtiflash-learnerのsecurity.redact-info-logの値の両方をtrueに設定します。両方の構成値のデフォルトはfalseです。これは、ログの編集が無効になっていることを意味します。