ES 实例提供控制面和数据面两类审计日志。控制面审计默认启用，由云审计服务记录事件；而数据面审计日志需要手动启用，通过内置插件openstudio_security记录数据访问事件到实例本身。本文介绍如何启用数据面审计。

注意事项

• 目前仅7.10.2版本的 ES 实例支持安全审计功能。
• 启用数据面审计后，审计日志索引的数据会占用实例存储空间，并且提取审计事件会产生少量计算开销，在一定程度上增加读写延迟，影响读写性能。请根据业务需求评估是否启用数据面审计功能。
• 实例首次启用数据面审计，会触发实例滚动重启，建议您在业务低峰期启用数据面审计功能。非首次开启、关闭实例不会触发实例重启和更新。

前提条件

您在启用数据面审计前，请确保系统参数ActionAutoCreateIndex设置为 true，否则将会阻塞数据面审计索引的自动分区。
如何配置ActionAutoCreateIndex参数，请参见配置系统参数。

启用数据面审计

1. 登录云搜索服务控制台。
2. 在顶部导航栏，选择目标项目和地域。
3. 在实例列表 v2页面，单击目标实例名称，进入实例详情页。
4. 在实例详情的左侧导航栏选择可观测 > 安全审计，然后在数据面审计区域的开启按钮。
   
5. 在弹出的提示对话框，明确启用数据面审计的影响后，单击确定。
   
6. 查看实例状态。
   当前实例的运行状态显示为更新中，当实例状态显示为运行中，表示数据面审计功能启用成功。

其他操作

数据面审计功能启用后，支持以下操作：

• 关闭数据面审计，且不会触发实例重启和更新。
• 配置参数：启用数据面审计后，在参数管理页面增加了AuditOpenDays和AuditKeepDays两个参数，用于控制数据面审计日志索引的打开天数和保存天数。如需修改参数默认配置，请参见控制审计日志索引生命周期。
• Kibana 地址管理：在数据面审计页面可以直接管理 Kibana 地址、访问白名单和公网解析。部分相关文档，请参见配置 Kibana/Dashboards 公网访问、配置 Kibana/Dashboards 公网 IP 白名单、配置 Kibana/Dashboards 私网地址公网解析。