2-2-3 零基础入门ElasticSearch——审计安全配置

最新推荐文章于 2024-04-30 16:20:46 发布
最新推荐文章于 2024-04-30 16:20:46 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: 零基础学习ElasticSearch 文章标签: elasticsearch 大数据 big data
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shiyi5496/article/details/122167078
版权

简介

        在Elasticsearch中,可以使用 audit logging(审核日志) 来记录安全相关的事件,例如:鉴权失败、拒绝连接、数据访问事件。另外,通过 APIs 对安全配置的改变,例如:创建、更新、删除 native(原生的) 和  built-in(内嵌的)用户、roles(角色)role mappings(角色映射)API keys(API 秘钥)也会被记录。

并非所有的订阅等级(购买的级别)都支持审计配置,参见:Subscriptions | Elastic Stack Products & Support | Elastic

        如果要配置,要保证集群中所有节点的配置是一致的。对于静态配置,在所有的节点的 elasticsearch.yml 中都要配置。对于动态配置,可以通过 cluster update settings API 来保证集群内所有节点的配置一致。

正文

统一审计配置

xpack.security.audit.enabled

        默认是 false ,设置为 true 开启审计配置。开启后,Elasticsearch会将审计日志放到每个节点的 <clustername>_audit.json

        如果开启后,必须在集群内所有节点的 elasticsearch.yml 中配置。

审计事件配置

xpack.security.audit.logfile.events.include

        (动态配置)指定需要输出的 kind of events(事件类型)

        可以使用 _all 来记录所有的事件类型,但是这样做会导致记录事件太多。

        默认包括的事件类型:access_denied(拒绝访问)access_granted(访问授予)anonymous_access_denied(拒绝匿名访问)authentication_failed(鉴权失败)connection_denied(拒绝连接)tampered_request(篡改过的请求)run_as_deniedrun_as_grantedsecurity_config_change(安全配置改变)

xpack.security.audit.logfile.events.exclude

        (动态配置)排除指定事件类型,默认为空。

xpack.security.audit.logfile.events.emit_request_body

        (动态配置)指定来自REST请求中哪些事件类型需要包括完整的请求体,可以用来审计查询请求。

请求体会包含明文信息,如果是包含敏感信息的请求,则需要注册,如修改密码等。

本地节点信息配置

xpack.security.audit.logfile.emit_node_name

        (动态配置)在每条日志中,是否需要包含节点名称,默认是false

xpack.security.audit.logfile.emit_node_host_address

        (动态配置)在每条日志中,是否包含节点的IP,默认是false

xpack.security.audit.logfile.emit_node_host_name

        (动态配置)在每条日志中,是否包含节点的域名,默认是false

xpack.security.audit.logfile.emit_node_id 

        (动态配置)每条日志中,是否包含节点ID。不同于节点名称,节点ID是固定的。

审计日志文件事件忽略策略

        忽略配置可以用来控制忽略那些满足配置策略事件。

        相同名称的策略会组合成一个单独的策略,如果事件满足组合策略中任何一个策略,都不会写入到审计日志中。

        唯一例外是:对于 security_config_change 类型的事件,不会受忽略策略的影响,只能通过 xpack.security.audit.logfile.events.include 来排除。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.users

        (动态配置)用户集合或者是用户名称正则,对于匹配上的用户产生的事件,不会被记录到审计日志中。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.realms

        (动态配置)鉴权范围名称集合或者鉴权全范围名称正则,对于匹配上的鉴权范围下的用户产生的事件,不会被记录到审计日志中。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.actions

        (动态配置)事件行为名称的集合或者事件行为名称的正则,用于匹配事件对象中的 action 值,匹配上了的事件不会记录到审计日志中。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.roles

        (动态配置)角色名称或角色名称正则,用于匹配用户角色,用户的所有角色都满足政策要求,才认为用户满足该政策。满足该政策的用户产生的事件,不会被记录到审计日志中。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.indices

        (动态配置)索引名称集合或索引名称正则,当事件中所有的索引都满足政策时,事件不会被记录到审计日志中。

总结

        审计日志主要用来记录集群中的敏感操作,或用来辅助分析,如分析查询。

        本文讲了如何设置审计日志相关配置。

我是一只杨
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elasticsearch-sample-plugin-audit:捕获索引更改并将它们写入 elasticsearch (audittrail)
06-08
elasticsearch-sample-plugin-audit 捕获索引更改并将它们写入 elasticsearch (audittrail) 执照 版权所有 (C) 2015 Hendrik Saly 根据 Apache 许可证 2.0 版(“许可证”)获得许可; 除非遵守许可,否则您不得使用此文件。 您可以在以下网址获取许可证副本 除非适用法律要求或书面同意,否则根据许可分发的软件是按“原样”分发的,没有任何类型的明示或暗示的保证或条件。 请参阅许可证以了解管理许可证下的许可和限制的特定语言。
search-guard-2(elasticsearch2.3)安装教程.zip
03-05
Search-Guard 是Elasticsearch的一个免费安全插件,它提供身份验证和授权 ,这里上传的是居于elasticsearch2.3的安装详细教程,包括java中如何连接都有完整的例子,网上很多都不完整,这是作者踩过了无数的坑后整理出来的,希望对大家有帮助。
elasticsearch-analysis-ik-7.16.2.zip
10-02
elasticsearch-ik-7.16.2 分词器
yii2-elasticsearch:Yii 2 Elasticsearch 扩展
08-04
Yii 2 的 Elasticsearch 查询和 ActiveRecord 这个扩展为提供了集成。 它包括基本的查询/搜索支持,还实现了ActiveRecord模式,允许您在 Elasticsearch 中存储活动记录。 有关许可证信息,请检查文件。 文档位于 。 要求 根据您使用的 Elasticsearch 版本,您需要此扩展的不同版本。 对于 Elasticsearch 1.6.0 到 1.7.6 使用扩展版本 2.0.x 对于 Elasticsearch 5.x 或更高版本,请使用扩展版本 2.1.x 安装 安装此扩展的首选方法是通过 : composer require --prefer-dist yiisoft/yii2-elasticsearch:"~2.1.0" 配置 要使用此扩展,您必须在应用程序配置配置 Connection 类: return [
es2csv:从Elasticsearch导出到CSV文件
01-30
es2csv:从Elasticsearch导出到CSV文件
es审计日志_【Elasticsearch7.0】之日志审计功能
weixin_42226446的博客
12-24 3494
有时候需要对一些日志的输出进行过滤,es的x-pack提供了这样的功能。可以通过一些配置来开启,所有的配置都可以在elasticsearch.yml里面进行配置。开启审计xpack.security.audit.enabled=true表示开启审计,默认情况是false,开启之后会把一些审计事件放在_audit.json文件里。审计事件事件或者一些内容记录都是可以通过以下设置来进行配置:xpack...
Elasticsearch教程 | 第三篇:审计设置
一点博客
11-15 2030
目录审计安全设置常规审计设置审核时间设置本地节点信息设置审核日志文件忽略策略 审计安全设置 您可以使用审计日志 记录与安全相关的事件,例如身份验证失败、拒绝连接和数据访问事件。此外,还会记录通过 API 对安全配置进行的更改,例如创建、更新和删除本机和 内置用户、角色、 角色映射和 API 密钥。 如果已配置,则必须在集群中的每个节点上设置审核设置。xpack.security.audit.enabled必须elasticsearch.yml在每个节点上配置 静态设置,例如。对于动态审计设置,请使用 集群更
#老杨说运维# 把各种IT运维指标数据,以指标资源池方式统一处理
边逛边看边学习
10-16 578
夏洛克AIOos的各项产品,越来越多将数据和智能应用场景区分开来。 这样做的好处显而易见。 对于IT运维指标数据,也建立了类似的处理流程。 来自多个IT设备的数据(比如业务分析数据、APM的应用监控指标、自采的架构监控指标、日志数据、第三方软件...),不再逐一分析,而是先通过实时数据流处理平台,将数据规整后存储到“指标管理池”内,再在此技术上建立模型。 在指标数据上面建立的场景应用可以是 “监控”“告警”“异常分析”“容量分析”“根因定位”,乃至生成统一的业务视图、仪表盘、大屏。 #老杨.
elasticsearch日志分析
m0_62341392的博客
12-24 3669
elasticsearch和mysql的区别 一、安装配置 实验环境: 准备三台虚拟机,这三台虚拟机都要下载elasticsearch,7.6版本的就可以 本次实验从真机中传过来的 scp /home/westos/elasticsearch-7.6.1-x86_64.rpm server1: scp /home/westos/elasticsearch-7.6.1-x86_64.rpm server2: scp /home/westos/elasticsearch-76.1-x86_64.rp.
elasticSearch官方文档解析2.3-安全审计配置
飞天猪猪侠
03-30 482
elasticsearch 审计日志配置
东软单片机-ES7P213x——IIC从机配置.zip
07-03
东软单片机-ES7P213x——IIC从机配置
ES基础入门培训-零基础门槛
08-16
零基础教学ElasticSearch,让你在运维领域脱颖而出,人人都能看懂的ElasticSearch培训PPT。
log4j2-elasticsearchLog4j2 Elasticsearch Appender插件
03-04
log4j2-elasticsearch概述 这是log4j2附加程序插件的父项目,能够将日志批量推送到Elasticsearch集群。 最新发布的代码(1.5.x)可用。 项目包括: log4j2-elasticsearch-core实现的框架提供程序 log4j2-elastic...
应用笔记S2-LP+开发套件入门
09-11
本文档介绍了 S2-LP 器件的开发套件以及相关硬件和软件组件。S2-LP 是超低功耗、低数据速率、低于 1 GHz 的射频收发器。 以下是基于 S2-LP 的开发套件: ...7. STDES-MONARCH 参考设计,带 BlueNRG-2 和 S2-LP
es优化实践(es升级带来的大坑)->问题与痛点->优化过程->原理分析->最佳实践
正直 的博客
04-29 249
这里分享一个ES2.X升级到ES5.X带来的天坑问题,从问题与痛点,到优化过程,到原理分析,到最佳实践
ESLint 和 Prettier 各自的作用及区别
qq_39454432的博客
04-29 647
ESLint 和 Prettier 各自的作用及区别
【翻译】Elasticsearch-索引模块
最新发布
qq_49444793的博客
04-30 924
索引块限制对指定的索引的可用的操作类型(就是指对该索引能进行什么操作)。这些块有不同的风格,可以阻止写、读或元数据操作。块可以通过动态索引设置来设置/移除,也可以通过专用API添加,这也可以确保写入块一旦成功返回用户,所有索引分片都能正确地计算该块,例如,在添加写块后,所有对索引进行中的写入会完成。
Git Commit命令撤销操作
yuanjinshenglife的专栏
04-28 333
Git Commit命令撤销操作
git branch与tag操作
哦豁灬
04-29 375
相对于轻量标签,附注标签是一个独立的标签对象,包含了名称时间戳以及标签备注等信息,同时指向对应的commit。,轻量标签指向一个发行版的分支,其只是一个像某commit的引用,不存储名称时间戳及标签说明等信息。,旧版本Git并没有提供直接删除的方法,可以通过将一个空标签替换现有标签来实现删除标签。也可以像特定的commit添加标签,使用该commit对应的SHA值即可。同创建本地标签一样,删除了本地标签之后也要同时删除远程仓库的标签。新建本地分支,并切换到新分支上。新建一个远程分支,名字一样。
elasticsearch-7.12.0-py2.py3-none-any.whl
07-27
elasticsearch-7.12.0-py2.py3-none-any.whl 是 Elasticsearch 的 Python 客户端库的一个安装文件。Elasticsearch 是一个开源的实时分布式搜索和分析引擎,用于处理大规模数据集。它提供了一个简单可扩展的 RESTful ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值