正在加载

启用审计日志

ECE ECK Elastic Cloud Hosted 自行管理 无服务器 不可用

重要提示

审计日志仅在某些订阅级别上可用。

您可以记录与安全相关的事件,例如身份验证失败和拒绝的连接,以监控您的集群是否存在可疑活动(包括数据访问授权和用户安全配置更改)。可以独立地为 Elasticsearch 和 Kibana 启用审计日志记录。

本节介绍如何在所有受支持的部署类型(包括自行管理的集群、Elastic Cloud Hosted、Elastic Cloud Enterprise (ECE) 和 Elastic Cloud on Kubernetes (ECK))中为 Elasticsearch 和 Kibana 启用和配置审计日志记录。

重要提示

在业务流程部署中,审计日志必须运送到监控部署;否则,它们将保留在容器级别,用户无法访问。有关在业务流程环境中配置日志转发的详细信息,请参阅日志记录配置

启用审计日志记录后,安全事件将持久保存到主机文件系统上每个集群节点上的专用<clustername>_audit.json文件中。有关更多信息,请参阅Elasticsearch 日志文件审计输出

  • 如果您使用的是 ECE 或 ECH,则需要在您的部署上启用监控和日志记录。作为启用监控和日志记录的一部分,您可以选择日志的传送位置。
  • 在生产环境中,请考虑创建一个单独的监控集群,该集群可以使用日志。

要启用 Elasticsearch 或 Kibana 审计日志,请在**所有 Elasticsearch 或 Kibana 节点**中将 xpack.security.audit.enabled 配置为 true,然后重新启动节点以应用更改。 有关详细说明,请选择您的部署类型

注意

默认情况下,审计日志已禁用,必须显式启用。

要在 Elasticsearch 中启用审计日志记录:

  1. 在所有节点中,在 elasticsearch.yml 中将 xpack.security.audit.enabled 设置为 true
  2. 按照滚动重启程序重新启动集群。

要在 Kibana 中启用审计日志记录:

  1. kibana.yml 中将 xpack.security.audit.enabled 设置为 true
  2. 重新启动 Kibana。

要了解如何在 Elasticsearch 集群中使用这些日志,请参阅使用 Filebeat 收集日志数据

要在 Elastic Cloud Hosted 部署中启用审计日志记录

  1. 登录到 Elastic Cloud 控制台

  2. 在主页或**托管部署**页面上找到您的部署,然后选择**管理**以访问其设置菜单。

  3. 从您的部署菜单中,转到**编辑**页面。

  4. 要为 Elasticsearch 启用审计

    • 在 **Elasticsearch** 部分中,选择**管理用户设置和扩展**。对于具有现有用户设置的部署,您可能必须展开每个节点的**编辑 elasticsearch.yml**插入符。
    • 添加设置 xpack.security.audit.enabled: true

  5. 要为 Kibana 启用审计

    • 在 **Kibana** 部分中,选择**编辑用户设置**。对于具有现有用户设置的部署,您可能必须改为展开**编辑 kibana.yml**插入符。
    • 添加设置 xpack.security.audit.enabled: true

  6. 选择**保存更改**。

计划更改将在您的部署上运行。完成后,审计日志将传送到您的监控部署。

要在 ECE 部署中启用审计日志记录

  1. 登录到 Cloud UI.

  2. 在**部署**页面上,选择您的部署。

  3. 从您的部署菜单中,转到**编辑**页面。

  4. 要为 Elasticsearch 启用审计

    • 在 **Elasticsearch** 部分中,选择**编辑用户设置和插件**。对于具有现有用户设置的部署,您可能必须展开第一个节点的**编辑 elasticsearch.yml**插入符。
    • 添加设置 xpack.security.audit.enabled: true

  5. 要为 Kibana 启用审计

    • 在 **Kibana** 部分中,选择**编辑用户设置**。对于具有现有用户设置的部署,您可能必须改为展开**编辑 kibana.yml**插入符。
    • 添加设置 xpack.security.audit.enabled: true
    • 如果您的 Elastic Stack 版本低于 7.6.0,请添加设置 logging.quiet: false

  6. 选择**保存**。

计划更改将在您的部署上运行。完成后,审计日志将传送到您的监控部署。

要在 ECK 管理的集群中启用审计日志记录,请将 xpack.security.audit.enabled: true 添加到每个 Elasticsearch nodeSetconfig 部分以及 Kibana 对象规范的 config 部分。

以下示例显示了此配置,以及向远程集群传送的日志和指标

apiVersion: elasticsearch.k8s.elastic.co/v1
kind: Elasticsearch
spec:
  monitoring:
    metrics:
      elasticsearchRefs:
      - name: monitoring
        namespace: observability
    logs:
      elasticsearchRefs:
      - name: monitoring
        namespace: observability
  nodeSets:
  - name: default
    config:
      xpack.security.audit.enabled: true
---
apiVersion: kibana.k8s.elastic.co/v1
kind: Kibana
spec:
  monitoring:
    metrics:
      elasticsearchRefs:
      - name: monitoring
        namespace: observability
    logs:
      elasticsearchRefs:
      - name: monitoring
        namespace: observability
  config:
    xpack.security.audit.enabled: true

启用后,审计日志将被收集并运送到 monitoring.logs 部分中引用的监控集群。 如果未启用监控,则审计日志仅在容器级别可见。

您可以配置其他选项来控制记录哪些事件以及审计日志中包含哪些信息。有关更多信息,请参阅配置审计日志记录

© . All rights reserved.