Назад до блогу

Секрети і PII в логах: маскування, події безпеки і алерти без витоків

Як логувати безпечно: що не можна писати в логи, як маскувати PII, як збирати security events, і як робити алерти, не порушуючи приватність.

28 квіт. 2026 р.
Обговорити проєктПереглянути кейси

Логи можуть стати витоком

Токени, паролі, карткові дані, email/телефон — усе це часто “випадково” опиняється в логах через debug. Потім логи їдуть у сторонні сервіси — і ризик множиться.

1) Список забороненого

  • Access/refresh tokens, паролі, секрети інтеграцій.
  • Повні карткові дані, документи, медичні записи.

2) Маскування і санітизація

  • Маскуй email/телефон (частково), хешуй ідентифікатори де доречно.
  • Санітизація на рівні логера/transport, а не “вручну” по коду.

3) Security events

  • Логіни, невдалі спроби, зміна пароля, відкликання сесій.
  • Аномалії: багато 401/403, підозрілі IP, сплеск помилок інтеграцій.

4) Retention і доступи

Обмеж доступ до логів, введи retention/TTL і аудит доступу до лог‑системи.

Підсумок

Безпечні логи — це маскування, політика retention і окремі security events. Так ви отримуєте observability без витоків.

Релевантні статті

Безпека сесій: refresh tokens, device sessions, revocation і “не залишати двері відчиненими”

Практика керування сесіями: access/refresh tokens, ротація, списки відкликань, сесії по пристроях, логін‑алерти і як уникнути “вічних” токенів.