Elasticsearch的审计日志(Audit Logging)介绍
Elasticsearch 的审计日志(Audit Logging)是一种记录与安全相关事件的功能,用于监控和追踪对集群的访问行为。通过审计日志,管理员可以了解谁在何时对哪些资源执行了什么操作,从而满足合规性要求、进行安全分析和排查异常行为。
一、审计日志的核心功能
- 记录安全事件
- 捕获与认证、授权、访问控制相关的事件,包括:
- 成功/失败的登录尝试。
- 权限检查结果(允许/拒绝)。
- 敏感操作(如修改集群设置、删除索引)。
- 安全配置变更(如角色、用户修改)。
- 支持多种输出目标
- 日志文件:输出到本地文件(默认)。
- Elasticsearch 索引:存储到 Elasticsearch 自身,便于搜索和分析。
- 外部系统:通过自定义插件发送到 SIEM(安全信息与事件管理)系统。
- 事件过滤
- 通过配置白名单/黑名单,仅记录感兴趣的事件,减少日志量。
- 敏感数据掩码
- 自动隐藏请求中的敏感信息(如密码、信