您可以通过自定义Auditlog配置,开启Elasticsearch(简称ES)的Auditlog索引功能,查看Auditlog相关的日志文件,并配置相关参数。

开启Auditlog

说明 阿里云ES 7.4.0版本的实例暂不支持Auditlog索引。
阿里云ES默认不支持查看Auditlog相关的日志文件(请求的相关信息)。如果您想查看该日志文件,请先在控制台中开启阿里云ES实例的Auditlog索引功能。修改生效后,Auditlog日志文件将输出到阿里云ES实例中,并使用.security_audit_log-*开头的索引名称,详情请参见修改YML参数配置开启Auditlog索引

配置Auditlog

开启Auditlog索引后,您可以自定义Auditlog配置,示例如下。
xpack.security.audit.index.bulk_size: 5000
xpack.security.audit.index.events.emit_request_body: false
xpack.security.audit.index.events.exclude: run_as_denied,anonymous_access_denied,realm_authentication_failed,access_denied,connection_denied
xpack.security.audit.index.events.include: authentication_failed,access_granted,tampered_request,connection_granted,run_as_granted
xpack.security.audit.index.flush_interval: 180s
xpack.security.audit.index.rollover: hourly
xpack.security.audit.index.settings.index.number_of_replicas: 1
xpack.security.audit.index.settings.index.number_of_shards: 10
配置 默认设置 说明
xpack.security.audit.index.bulk_size 1000 当您将多个审核事件分批写入到一个Auditlog索引中时,可通过该参数,设置写入事件的数量。
xpack.security.audit.index.flush_interval 1s 控制缓冲事件刷新到索引的频率。
xpack.security.audit.index.rollover daily 控制滚动构建到新索引的频率,可以设置为hourlydailyweekly或者monthly
xpack.security.audit.index.events.include access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted 控制何种Auditlog事件可以被写入到索引中。完整列单请参见Accesslog事件类型
xpack.security.audit.index.events.exclude null(默认不对任何事件进行处理) 构建索引过程中排除的Auditlog事件。
xpack.security.audit.index.events.emit_request_body false 当触发明确的事件类型时(例如 authentication_failed),是否忽略或包含以REST发送的请求体。
注意
  • 当Auditlog事件中包含request body信息时,有可能在文本中暴露敏感信息。
  • 当开启Auditlog索引功能后,Auditlog日志文件将输出到阿里云ES实例中,并使用.security_audit_log-*开头的索引名称,该索引将占用阿里云ES实例的存储空间。因为阿里云ES不支持自动过期清除策略,因此请手动清除旧的Auditlog索引。
您也可以通过xpack.security.audit.index.settings配置存储Auditlog的索引。以下配置构建Auditlog索引的分片和副本均为1
xpack.security.audit.index.settings:
  index:
    number_of_shards: 1
    number_of_replicas: 1
说明 如果您希望通过传入配置参数生成Auditlog索引,请在开启Auditlog索引(设置xpack.security.audit.enabledtrue)的同时传入此配置。当阿里云ES实例完成变更后,Auditlog索引将会出现在您的阿里云ES实例中。否则,阿里云ES实例的Auditlog索引将以默认的number_of_shards: 5number_of_replicas: 1进行设置。

更多详细信息请参见Auditing Security Settings