数据面审计日志需要手动启用,通过内置系统插件openstudio_security记录事件到实例本身。本文介绍在 Kibana 页面查看数据面审计日志的方法。
功能限制
目前仅7.10.2版本的 ES 实例支持安全审计功能。
查看审计日志
数据面审计开启后,将会记录读写索引、修改索引 mappings 和 settings、查看集群健康度等事件,并将这些数据访问事件存入以.security-auditlog-开头、以日期结尾的索引。
您可以在通过配置索引样式,然后在 Discover 页面查看审计日志。
- 通过公网地址登录 Kibana 页面。相关文档,请参见登录 Kibana/Dashboards。
- 配置索引匹配样式。
- 在 Kibana 菜单栏选择 Stack Management > Index patterns,然后单击 Create index pattern。
- 设置 Index pattern 为
.security-auditlog-*。 - 选择
@timestamp字段作为时间过滤器的字段。
- 在 Discover 页面查看审计日志。
- 在 Kibana 菜单栏选择 Discover。
- 选择已配置的 Index pattern,设置合适的时间范围,查看审计日志。
如需了解日志字段信息,请参见本文的审计日志字段说明。
审计日志字段说明
分类 | 字段名 | 类型 | 描述 |
|---|---|---|---|
时间 | @timestamp | date | 事件时间。 |
服务端 | audit_cluster_name | string | ES 实例 ID。 |
audit_node_host_address | string | ES 实例服务端主机地址。 | |
audit_node_host_name | string | ES 实例服务端主机名。 | |
audit_node_id | string | ES 实例服务端节点 ID。 | |
audit_node_name | string | ES 实例服务端节点名称。 | |
客户端 | audit_request_remote_address | string | 客户端 IP 地址。 |
访问者/账号 | audit_request_effective_user | string | 实际参与权限检查的用户,比如 admin。 |
audit_request_effective_user_is_admin | bool | 实际用户是否为 admin。 | |
audit_request_initiating_user | string | 发起请求的用户。仅当与实际参与权限检查的用户不相同时才会记录。 | |
事件类型/层次 | audit_category | enum | 事件类型。支持的事件类型请参见日志采集参数说明。 |
audit_request_layer | enum | 请求层次,REST 或 TRANSPORT。 | |
audit_request_origin | enum | 请求起源层次,REST 或 TRANSPORT。 | |
HTTP请求 | audit_rest_request_method | enum | HTTP 请求方法,如 GET、PUT、POST、DELETE、HEAD 等。 |
audit_rest_request_path | string | HTTP 请求路径。 | |
audit_rest_request_headers | object | HTTP 请求 Header。 | |
audit_rest_request_params | object | HTTP 请求参数。 | |
audit_request_body | string | HTTP 请求体。 | |
RPC 请求信息 | audit_transport_request_type | string | RPC 请求类型,如 |
audit_request_privilege | string | RPC 请求路径,如 | |
audit_transport_headers | object | RPC 请求 Header。 | |
audit_trace_resolved_indices | string array | 从请求中解析出来的索引。 |
如需了解审计日志字段的更多信息,请参见开源文档Audit log field reference。