所有这些设置都可以添加到elasticsearch.yml配置文件中。有关详细信息,请参阅审核安全事件。
xpack.security.audit.enabled
设置为true可在节点上启用审核。默认值为假。这会将审核事件放入每个节点上名为
使用以下设置可以控制事件和有关记录内容的其他一些信息:
xpack.security.audit.logfile.events.include
指定要包括在审核输出中的事件。默认值为:access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted
.
xpack.security.audit.logfile.events.exclude
从输出中排除指定的事件。默认情况下,不排除任何事件。
xpack.security.audit.logfile.events.emit_request_body
指定是否在某些事件类型(如
authentication_failed)上包括来自REST请求的请求正文。默认值为
false。
重要:审计时不执行过滤,因此在审计事件中包含请求主体时,敏感数据可以纯文本形式进行审计。
xpack.security.audit.logfile.emit_node_name
指定是否将node name作为字段包含在每个审核事件中。默认值为true。
xpack.security.audit.logfile.emit_node_host_address
指定是否将节点的IP地址作为字段包含在每个审核事件中。默认值为假。
xpack.security.audit.logfile.emit_node_host_name
指定是否将节点的主机名作为字段包含在每个审核事件中。默认值为false。
xpack.security.audit.logfile.emit_node_id
指定是否将节点ID作为字段包含在每个审核事件中。这仅适用于新格式。也就是说,此信息不存在于
这些设置会影响ignore policies ,这些策略允许对哪些审核事件打印到日志文件进行细粒度控制。具有相同策略名称的所有设置组合成一个策略。如果一个事件符合特定策略的所有条件,那么它将被忽略而不打印。
xpack.security.audit.logfile.events.ignore_filters.
用户名或通配符的列表。指定的策略不会为匹配这些值的用户打印审核事件。
xpack.security.audit.logfile.events.ignore_filters.
身份验证领域名称或通配符的列表。指定的策略不会为这些领域中的用户打印审核事件。
xpack.security.audit.logfile.events.ignore_filters.
角色名或通配符的列表。指定的策略不会为具有这些角色的用户打印审核事件。如果用户具有多个角色,其中一些角色不在策略中,则策略将不包含此事件。
xpack.security.audit.logfile.events.ignore_filters.
索引名或通配符的列表。当事件中的所有索引与这些值匹配时,指定的策略将不打印审核事件。如果事件涉及多个指数,其中一些指数不包含在策略中,则策略将不包含此事件。