启用审计日志
编辑启用审计日志
编辑您可以记录与安全相关的事件,例如身份验证失败和拒绝的连接,以监控集群中的可疑活动(包括数据访问授权和用户安全配置更改)。
在发生攻击时,审计日志还提供取证证据。
默认情况下,审计日志是禁用的。您必须显式启用审计日志。
审计日志仅在某些订阅级别可用。有关更多信息,请参阅 https://elastic.ac.cn/subscriptions。
要启用审计日志:
- 在
elasticsearch.yml中将xpack.security.audit.enabled设置为true。 - 重启 Elasticsearch。
启用审计日志后,安全事件 将持久化到每个集群节点的主机文件系统上的专用 <clustername>_audit.json 文件中。有关更多信息,请参阅 日志文件审计输出。
您可以配置其他选项来控制记录哪些事件以及审计日志中包含哪些信息。有关更多信息,请参阅 审计设置。