《Elasticsearch 审计日志》系列,共包含以下文章:
😊 如果您觉得这篇文章有用 ✔️ 的话,请给博主一个一键三连 🚀🚀🚀 吧 (点赞 🧡、关注 💛、收藏 💚)!!!您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容!!!
审计日志(一):General settings
- [1.层级设置(Layer settings)](#1.层级设置(Layer settings))
-
- [1.1 REST 层设置](#1.1 REST 层设置)
- [1.2 Transport 层设置](#1.2 Transport 层设置)
- [2.属性设置(Attribute settings)](#2.属性设置(Attribute settings))
- [3.忽略设置(Ignore settings)](#3.忽略设置(Ignore settings))
- 4.重要注意事项
本文将为您介绍 Elasticsearch 审计日志设置中各参数的含义和作用。
1.层级设置(Layer settings)
1.1 REST 层设置
audit:enable_rest- 作用 :启用或禁用 REST 层的审计事件记录
- 当前值:Enabled(启用)
- 说明:启用后,所有通过 REST API 执行的操作都会被审计记录
audit:disabled_rest_categories- 作用 :指定在 REST 层忽略的审计类别
- 当前忽略的类别 :
- AUTHENTICATED(认证事件)
- GRANTED_PRIVILEGES(授予权限事件)
- 说明:忽略这些类别可减少审计日志量,但会缺失相关安全事件的记录
1.2 Transport 层设置
audit:enable_transport- 作用 :启用或禁用传输层(节点间通信)的审计事件记录
- 当前值:Disabled(禁用)
audit:disabled_transport_categories- 作用 :指定在传输层忽略的审计类别
- 当前忽略的类别 :
- AUTHENTICATED
- GRANTED_PRIVILEGES
2.属性设置(Attribute settings)
audit:resolve_bulk_requests- 作用 :审计时是否解析批量请求
- 当前值:Enabled(启用)
- 说明:启用后会为批量请求中的每个文档生成单独日志,会增加系统开销
audit:log_request_body- 作用 :是否在审计日志中包含请求体
- 当前值:Enabled(启用)
- 说明:有助于事后分析,但可能包含敏感信息
audit:resolve_indices- 作用 :审计时是否解析索引名称
- 当前值:Enabled(启用)
- 说明:记录操作涉及的具体索引名称
audit:exclude_sensitive_headers- 作用 :是否排除敏感请求头(如授权头)
- 当前值:Disabled(禁用)
- 说明:启用后保护敏感凭证信息不被记录
3.忽略设置(Ignore settings)
audit:ignore_users- 作用 :指定审计时要忽略的用户
- 当前忽略的用户:无
- 默认值 :
kibanaserver(系统用户) - 说明:减少指定用户产生的审计日志量
audit:ignore_requests- 作用 :指定要忽略的请求模式
- 当前值:"ignored requests"(示例值,实际应配置具体模式)
- 说明:可配置正则表达式模式来忽略特定类型的请求
4.重要注意事项
- 1️⃣ 许多设置旁都有警告 "
可能造成显著开销",因为这些设置会影响:- 审计日志量
- 系统性能
- 存储需求
- 2️⃣ 最佳实践建议:
- 生产环境中应平衡安全需求与性能影响。
- 敏感操作建议保持详细审计。
- 高频操作可考虑适当忽略以减少日志量。
- 3️⃣ 修改这些设置需要根据组织的安全合规要求进行调整,某些行业标准可能要求特定的审计级别。