控制审计日志索引生命周期
最近更新时间:2023.11.30 14:19:26
首次发布时间:2023.11.30 14:19:26
启用数据面审计后,在 ES 实例的参数配置页面增加了AuditOpenDays和AuditKeepDays两个参数,用于控制数据面审计日志索引的打开天数和保存天数。
背景信息
在 ES 实例的参数配置页面查看AuditOpenDays和AuditKeepDays两个参数配置情况。
- AuditOpenDays:审计日志索引打开天数,默认为 7 天。
- AuditKeepDays:审计日志索引保存天数,不得小于索引打开天数,默认值为 30 天。
通过配置AuditOpenDays和AuditKeepDays两个参数,就能控制审计日志索引的生命周期。您可以在 Kibana 的 Index Management > Index Policies 页面查看索引生命周期策略,默认已生成一个名为recycle_auditlog_policy的策略。recycle_auditlog_policy策略的内容如下:
- 指定的索引匹配模式为
.security-auditlog-*,与索引模式匹配的索引都将适配该生命周期策略。 - 索引初始状态为 fresh。
- 7 天后进入 **trash **阶段,在该阶段将关闭索引。
- 30 天后进入 delete 阶段,在该阶段将删除索引。
{ "policy_id": "recycle_auditlog_policy", "description": "recycle auditlog index workflow", "last_updated_time": 1700449535942, "schema_version": 1, "error_notification": null, "default_state": "fresh", "states": [ { "name": "fresh", "actions": [], "transitions": [ { "state_name": "trash", "conditions": { "min_index_age": "7d" } } ] }, { "name": "trash", "actions": [ { "close": {} } ], "transitions": [ { "state_name": "delete", "conditions": { "min_index_age": "30d" } } ] }, { "name": "delete", "actions": [ { "delete": {} } ], "transitions": [] } ], "ism_template": { "index_patterns": [ ".security-auditlog-*" ], "priority": 100, "last_updated_time": 1700449535942 } }
注意事项
修改AuditOpenDays和AuditKeepDays参数配置后,实例不会重启,修改参数配置需要隔天(UTC 时间零点后)生效。
修改审计索引生命周期参数
- 在 ES 实例列表页面,单击实例名称进入实例详情。
- 在参数配置页签下,单击修改参数。
- 按需修改
AuditOpenDays和AuditKeepDays两个参数的取值,然后单击提交。 - 在弹出的提示对话框,单击确定。