Elasticsearch教程 | 第三篇：审计设置

审计安全设置

您可以使用审计日志 记录与安全相关的事件，例如身份验证失败、拒绝连接和数据访问事件。此外，还会记录通过 API 对安全配置进行的更改，例如创建、更新和删除本机和 内置用户、角色、 角色映射和 API 密钥。

如果已配置，则必须在集群中的每个节点上设置审核设置。xpack.security.audit.enabled必须elasticsearch.yml在每个节点上配置 静态设置，例如。对于动态审计设置，请使用 集群更新设置 API以确保所有节点上的设置都相同。

常规审计设置

•xpack.security.audit.enabled（静态）设置为true在节点上启用审计。默认值为false。这会将审计事件放在以_audit.json每个节点命名的专用文件中。

如果启用，则必须elasticsearch.yml在集群中的所有节点上配置此设置。

审核时间设置

可以使用以下设置控制事件和有关记录内容的其他一些信息：

•xpack.security.audit.logfile.events.include：指定要在审计输出中打印的事件类型。此外，_all可用于详尽审核所有事件，但通常不鼓励这样做，因为它会变得非常冗长。默认列表值包含：access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted, security_config_change。

• xpack.security.audit.logfile.events.exclude：从包含列表中排除指定类 型的事件。这在events.include设置包含特殊值的情况下很有用_all。默认 为空列表。

本地节点信息设置

•xpack.security.audit.logfile.emit_node_name 指定是否将节点名称作为字段包含在每个审计事件中。默认值为false。

•xpack.security.audit.logfile.emit_node_host_address 指定是否将节点 的 IP 地址作为字段包含在每个审计事件中。默认值为false。

•xpack.security.audit.logfile.emit_node_host_name 指定是否将节点的主机名作为字段包含在每个审计事件中。默认值为false。 •xpack.security.audit.logfile.emit_node_id 指定是否将节点 ID 作为字段包含在每个审计事件中。与node name不同，如果管理员更改配置文件中的设置，其值可能会更改，节点 id 将在集群重新启动后保持不变，管理员无法更改它。默认值为true。

审核日志文件忽略策略

以下设置会影响忽略策略 ，这些策略可对打印到日志文件的审计事件进行细粒度控制。具有相同策略名称的所有设置组合形成一个策略。如果一个事件符合任何策略的所有条件，它就会被忽略并且不会被打印出来。大多数审计事件都受忽略策略的约束。唯一的例外是该security_config_change类型的事件，除非完全排除，否则无法过滤掉 。

•xpack.security.audit.logfile.events.ignore_filters..users 用户名或通配符列表。指定的策略不会为匹配这些值的用户打印审计事件。

•xpack.security.audit.logfile.events.ignore_filters..realms 身份验证领域名称或通配符列表。指定的策略不会为这些领域中的用户打印审计事件。

•xpack.security.audit.logfile.events.ignore_filters..actions 操作名称或通配符列表。操作名称可以action 在审计事件字段中找到。指定的策略不会打印匹配这些值的操作的审计事件。

•xpack.security.audit.logfile.events.ignore_filters..roles 角色名称或通配符列表。指定的策略不会为具有这些角色的用户打印审计事件。如果用户有多个角色，其中一些角色不在策略范围内，策略将 不涵盖此事件。

•xpack.security.audit.logfile.events.ignore_filters..indices 索引名称或通配符列表。当事件中的所有索引都匹配这些值时，指定的策略将不会打印审计事件。如果事件涉及多个指数，其中一些 不在保单涵盖范围内，则保单将不涵盖此事件。