启用审计日志
编辑启用审计日志编辑
您可以记录与安全相关的事件,例如身份验证失败和拒绝连接,以监控集群是否有可疑活动(包括数据访问授权和用户安全配置更改)。
审计日志还可以在攻击发生时提供取证证据。
审计日志默认情况下是 禁用 的。您必须显式启用审计日志。
审计日志仅在某些订阅级别可用。有关更多信息,请参阅 https://elastic.ac.cn/subscriptions。
要启用审计日志
- 在
elasticsearch.yml中将xpack.security.audit.enabled设置为true。 - 重启 Elasticsearch。
启用审计日志后,安全事件 会被持久化到每个集群节点主机文件系统上的专用 <clustername>_audit.json 文件中。有关更多信息,请参阅 日志文件审计输出。
您可以配置其他选项来控制记录哪些事件以及审计日志中包含哪些信息。有关更多信息,请参阅 审计安全设置。