云搜索提供控制面和数据面两类审计日志。控制面审计默认启用，由云审计服务记录事件；而数据面审计日志需要手动启用，通过内置插件记录数据访问事件到实例本身。本文介绍如何启用数据面审计。

• 对于 ES 实例，内置系统插件为opendistro_security。
• 对于 OpenSearch 实例，内置系统插件为opensearch-security。

注意事项

• 目前仅 7.10.2 版本的 ES 实例和 2.9.0 版本的 OpenSearch 实例支持安全审计功能。
• 启用数据面审计后，审计日志索引的数据会占用实例存储空间，并且提取审计事件会产生少量计算开销，在一定程度上增加读写延迟，影响读写性能。请根据业务需求评估是否启用数据面审计功能。
• 实例首次启用数据面审计，会触发实例滚动重启，建议您在业务低峰期启用数据面审计功能。非首次开启、关闭实例不会触发实例重启和更新。
• 仅限选择已支持审计功能的实例，审计功能会占用额外的资源，推荐创建新实例专门用于存储审计日志。
• 修改转存实例时，当前集群会重启，建议低峰时间操作。
• 建议为实例配置监控告警，超过阈值及时升级配置。关于配置监控告警的详细信息，请参见一键配置告警和推荐配置的告警规则。

前提条件

您在启用数据面审计前，请确保系统参数 ActionAutoCreateIndex 设置为 true，否则将会阻塞数据面审计索引的自动分区。
如何配置ActionAutoCreateIndex参数，请参见修改参数配置。

启用数据面审计

1. 登录云搜索服务控制台。
2. 在顶部导航栏，选择目标项目和地域。
3. 在实例列表 v2页面，单击目标实例名称，进入实例详情页。
4. 在实例详情的左侧导航栏选择可观测 > 安全审计，然后在数据面审计区域打开功能开关按钮。
5. 在弹出的启用数据面审计窗口中，选择转存到实例后，单击确定。

   说明

   仅限选择已支持审计功能的实例。由于审计功能会占用额外的资源，推荐创建新实例专门用于存储审计日志。

   
6. 查看实例状态。
   单击确定后，实例的运行状态会切换为为更新中。当实例状态再次切换为运行中时，表示数据面审计功能启用成功。

其他操作

数据面审计功能启用后，支持以下操作：

• 关闭数据面审计 关闭数据面审计不会触发实例重启和更新。
• 配置审计参数 启用数据面审计后，在数据面审计页面增加了AuditOpenDays和AuditKeepDays两个参数，用于控制数据面审计日志索引的打开天数和保存天数。如需修改参数配置，请参见控制审计日志索引生命周期。
• 修改转存实例 存储审计日志的实例支持修改。在数据面审计区域单击修改转存实例，在弹出的修改转存实例窗口中选择新的转存实例后单击确定，即可完成转存实例的修改。
• 查看审计日志 在数据面审计页面，展示了实例当前的的审计日志列表。关于查看数据面审计日志的详细信息，请参见在云搜索控制台查看审计日志。