您可以使用审计日志记录与安全相关的事件,如身份验证失败、拒绝连接和数据访问事件。此外,通过API对安全配置进行的更改,如创建、更新和删除本地用户、内置用户、角色、角色映射和API密钥,也会被记录。
审计日志仅在某些订阅级别上提供。有关更多信息,请参阅https://www.elastic.co/subscriptions。
如果配置了审计,必须在集群中的每个节点上设置审计设置。静态设置,例如xpack.security.audit.enabled,必须在每个节点的elasticsearch.yml中进行配置。对于动态审计设置,请使用集群更新设置API,以确保所有节点上的设置相同。
一般审计设置
xpack.security.audit.enabled
(静态)设置为true以在节点上启用审计。默认值为false。这会将审计事件放入每个节点上名为<clustername>_audit.json的专用文件中。
如果启用了此设置,则必须在集群中的所有节点的elasticsearch.yml中配置它。
审计事件设置
事件和有关记录的其他信息可以通过使用以下设置进行控制:
xpack.security.audit.logfile.events.include
(动态)指定要在审计输出中打印的事件类型。此外,可以使用_all以详尽记录所有事件,但通常不建议使用,因为会变得非常冗长。默认列表包含:access_denied、access_granted、anonymous_access_denied、authentication_failed、connection_denied、tampered_request、run_as_denied、run_as_granted、security_config_change。
xpack.security.audit.logfile.events.exclude
(动态)从包含列表中排除指定类型的事件。这在事件.include设置包含特殊值_all的情况下很有用。默认为空列表。
xpack.security.audit.logfile.events.emit_request_body
(动态)指定是否将REST请求的完整请求主体作为某些类型的审计事件属性包含在内。此设置可用于审计搜索查询。
默认值为false,因此不会打印请求主体。
请注意,当在审计事件中包含请求主体时,敏感数据可能以纯文本形式进行审计,尽管所有安全API(如更改用户密码的API)在审计时会过滤掉凭据。
本地节点信息设置
xpack.security.audit.logfile.emit_node_name
(动态)指定是否在每个审计事件中包含节点名称字段。默认值为false。
xpack.security.audit.logfile.emit_node_host_address
(动态)指定是否在每个审计事件中包含节点的IP地址字段。默认值为false。
xpack.security.audit.logfile.emit_node_host_name
(动态)指定是否在每个审计事件中包含节点的主机名字段。默认值为false。
xpack.security.audit.logfile.emit_node_id
(动态)指定是否在每个审计事件中包含节点ID字段。与节点名称不同,如果管理员更改配置文件中的设置,节点名称的值可能会更改,而节点ID将在集群重新启动时保持不变,管理员无法更改它。默认值为true。
审计日志文件事件忽略策略
以下设置影响忽略策略,允许对要打印到日志文件的审计事件进行精细控制。具有相同策略名称的所有设置组合形成一个单一策略。如果事件符合任何策略的所有条件,它将被忽略并不会打印。大多数审计事件都受到忽略策略的影响。唯一的例外是security_config_change类型的事件,除非完全排除,否则不能被过滤掉。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.users
(动态)用户名称或通配符列表。指定的策略不会为匹配这些值的用户打印审计事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.realms
(动态)身份验证领域名称或通配符列表。指定的策略不会为位于这些领域中的用户打印审计事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.actions
(动态)操作名称或通配符列表。操作名称可以在审计事件的操作字段中找到。指定的策略不会为匹配这些值的操作打印审计事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.roles
(动态)角色名称或通配符列表。指定的策略不会为具有这些角色的用户打印审计事件。如果用户有多个角色,其中一些角色不受策略覆盖,该策略将不覆盖此事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.indices
(动态)索引名称或通配符列表。指定的策略不会在事件中所有与这些值匹配的索引时打印审计事件。如果事件涉及多个索引,其中一些索引不受策略覆盖,该策略将不覆盖此事件。
网友评论