审核安全设置
所有这些设置都可以添加到elasticsearch.yml配置文件中。有关详细信息,请参阅审核安全事件。
常规审核设置
xpack.security.audit.enabled
设置为true可在节点上启用审核。默认值为假。这会将审核事件放入每个节点上名为<clustername>_audit.json 中。有关详细信息,请参阅配置日志记录级别。
审核事件设置
使用以下设置可以控制事件和有关记录内容的其他一些信息:
xpack.security.audit.logfile.events.include
指定要包括在审核输出中的事件。默认值为:access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted.
xpack.security.audit.logfile.events.exclude
从输出中排除指定的事件。默认情况下,不排除任何事件。
xpack.security.audit.logfile.events.emit_request_body
指定是否在某些事件类型(如authentication_failed)上包括来自REST请求的请求正文。默认值为false。
重要:审计时不执行过滤,因此在审计事件中包含请求主体时,敏感数据可以纯文本形式进行审计。
本地节点信息设置
xpack.security.audit.logfile.emit_node_name
指定是否将node name作为字段包含在每个审核事件中。默认值为true。
xpack.security.audit.logfile.emit_node_host_address
指定是否将节点的IP地址作为字段包含在每个审核事件中。默认值为假。
xpack.security.audit.logfile.emit_node_host_name
指定是否将节点的主机名作为字段包含在每个审核事件中。默认值为false。
xpack.security.audit.logfile.emit_node_id
指定是否将节点ID作为字段包含在每个审核事件中。这仅适用于新格式。也就是说,此信息不存在于<clustername>_access.log文件中。与node name,不同,如果管理员更改配置文件中的设置,其值可能会更改,节点ID将在群集重新启动时保持不变,管理员无法更改。默认值为true。
审核日志文件事件忽略策略
这些设置会影响ignore policies ,这些策略允许对哪些审核事件打印到日志文件进行细粒度控制。具有相同策略名称的所有设置组合成一个策略。如果一个事件符合特定策略的所有条件,那么它将被忽略而不打印。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.users
用户名或通配符的列表。指定的策略不会为匹配这些值的用户打印审核事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.realms
身份验证领域名称或通配符的列表。指定的策略不会为这些领域中的用户打印审核事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.roles
角色名或通配符的列表。指定的策略不会为具有这些角色的用户打印审核事件。如果用户具有多个角色,其中一些角色不在策略中,则策略将不包含此事件。
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.indices
索引名或通配符的列表。当事件中的所有索引与这些值匹配时,指定的策略将不打印审核事件。如果事件涉及多个指数,其中一些指数不包含在策略中,则策略将不包含此事件。
2126
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
