本文介绍腾讯云 Elasticsearch Service 审计日志的使用说明。用户可以通过审计日志,记录和追踪与集群操作相关的关键事件,帮助用户确保系统的安全性、合规性以及操作透明性。审计日志能够提供关于用户活动、权限变更、身份验证等操作的详细记录,辅助集群的安全审计、问题排查以及运维管理。
注意:
审计日志为 X-Pack 高级特性能力,仅在白金版支持。
审计日志主要展示 Elasticsearch 实例对应的增、删、改、查等操作产生的日志,您可以通过如下步骤开启审计日志:
1. 在日志页面,单击进入审计日志界面。
2. 单击审计日志设置界面下的当前开启状态。
3. 在出现的弹窗中,勾选对应提示,并单击确认。
注意:
开启审计日志采集,文件将输出到当前 ES 集群中,并使用 security_audit_log-* 开头的索引名称,您可以在 Kibana 中查询到该集群的审计日志。
ES 6.8.2及以上版本,数据默认保存3天,如需存储更长时间,您可修改对应生命周期管理策略;ES 6.4.3版本,数据默认永久保存,请及时进行清理操作;ES 5.6.4版本,不支持审计日志功能。
若您需要修改采集的审计事件类型,可参见 官方文档。
开启或关闭审计日志采集会触发集群重启,建议在集群负载不高时操作。
4. 确认后,集群会进行重启,您可在变更记录中查看进度。重启成功后,即可开启审计日志采集。
说明:
审计日志信息会占用集群的磁盘空间,同时也会影响性能。如果您不需要查看审计日志,可使用同样的方式关闭审计日志采集功能。
5. 进入 Kibana Discover 界面,找到对应索引,即可查看审计日志。
