审计搜索查询
编辑审计搜索查询
编辑没有专门用于搜索查询的审计事件类型。搜索查询会被分析然后处理;处理过程会触发授权操作,这些操作会被审计。但是,客户端提交的原始原始查询在授权审计发生时无法在下游访问。
搜索查询包含在 HTTP 请求正文中,但是,协调节点上的 REST 层生成的某些审计事件可以切换为将请求正文输出到审计日志。因此,必须审计请求正文才能审计搜索查询。
要使某些审计事件包含请求正文,请在elasticsearch.yml文件中编辑以下设置:
xpack.security.audit.logfile.events.emit_request_body: true
审计时不执行任何过滤,因此当审计事件包含请求正文时,敏感数据可能会以纯文本形式进行审计。此外,请求正文可能包含可能破坏使用审计日志的解析器的恶意内容。
请求正文作为转义的 JSON 字符串值 (RFC 4627) 打印到request.body事件属性。
并非所有事件都包含request.body属性,即使切换了上述设置也是如此。包含该属性的事件有:authentication_success、authentication_failed、realm_authentication_failed、tampered_request、run_as_denied和anonymous_access_denied。request.body属性仅在协调节点(处理 REST 请求的节点)上打印。大多数这些事件类型默认情况下不包含。
一个好的实用建议是将authentication_success添加到要审计的事件类型中(将其添加到xpack.security.audit.logfile.events.include中的列表中),因为此事件类型默认情况下不会被审计。
通常,包含列表还包含其他事件类型,例如access_granted或access_denied。