配置审计日志采集参数

审计日志

Storage location

审计输出位置，固定值为 internal_elasticsearch。

Enable audit logging

审计总开关，效果与 ES 实例详情中的数据面审计开关相同。

• Enabled
• Disabled

层次配置

REST layer

采集 HTTP 请求的开关。

• Enabled
• Disabled

REST disabled categories

采集过程中忽略的 HTTP 事件类型列表，为空时表示全量采集。
事件类型详情，请参见本文中的事件类型表。

Transport layer

采集 RPC 请求的开关。

• Enabled
• Disabled

Transport disabled categories

采集过程中忽略的 RPC 事件类型列表，为空时表示全量采集。
事件类型详情，请参见本文中的事件类型表。

属性配置

Bulk requests

展开批量写入（_bulk）请求的开关，打开时会为写入的每条文档记录一条审计日志，建议关闭。

• Enabled
• Disabled

Request body

记录请求体的开关。

• Enabled
• Disabled

Resolve indices

从请求中提取索引名的开关，当且仅当打开 RPC 采集时生效。

• Enabled
• Disabled

Sensitive headers

是否过滤敏感 header 的开关，建议打开。

• Enabled
• Disabled

忽略列表

Ignored users

忽略采集的账号列表，允许使用*通配符。当访问者账号命中该列表时，忽略其造成的审计日志。
经典用法：忽略系统管理员bytees_*,admin,kibanaserver。

Ignored requests

忽略采集的请求列表，允许使用*通配。当访问请求类型或action路径命中该列表时，跳过输出审计。
经典用法：忽略查询请求SearchRequest,MultiSearchRequest,indices:data/read/*。

失败

FAILED_LOGIN

REST、Transport

身份认证失败，大概率是用户不存在或密码错误。

MISSING_PRIVILEGES

Transport

访问者没有执行请求的权限。

异常

SSL_EXCEPTION

REST、Transport

当前访问没有可信的 SSL 或 TLS 证书。

OPENDISTRO_SECURITY_INDEX_ATTEMPT

Transport

越权请求，非 admin 或未授权用户尝试修改安全插件内部用户或权限索引。

BAD_HEADERS

REST、Transport

危险请求，尝试覆盖安全插件内部 header。

成功

AUTHENTICATED

REST、Transport

权限认证成功。

GRANTED_PRIVILEGES

Transport

请求执行成功。

标签

INDEX_EVENT

Transport

索引管理事件：indices:admin/*。