数据面审计日志需要手动启用,通过内置系统插件记录事件到实例本身。本文介绍在 Kibana/Dashboards 页面和云搜索控制台查看数据面审计日志的方法。
- 对于 ES 实例,内置系统插件为
opendistro_security。 - 对于 OpenSearch 实例,内置系统插件为
opensearch-security。
功能限制
目前仅 7.10.2 版本的 ES 实例和 2.9.0 版本的 OpenSearch 实例支持安全审计功能。
查看审计日志
数据面审计开启后,将会记录读写索引、修改索引 mappings 和 settings、查看集群健康度等事件,并将这些数据访问事件写入有固定前缀和后缀的索引:
- 对于 ES 实例,前缀为
.security-auditlog-,后缀为日期。 - 对于 OpenSearch 实例,前缀为
security-auditlog-,后缀为日期。
在 Kibana/Dashboards 页面查看审计日志
您可以在通过配置索引样式,然后在 Discover 页面查看审计日志。
- 通过公网地址登录 Kibana/Dashboards 页面。相关文档,请参见登录 Kibana/Dashboards。
- 配置索引匹配样式。
- 在 Kibana 菜单栏选择 Stack Management > Index patterns,然后单击 Create index pattern。
- 设置 Index pattern 为
.security-auditlog-*。 - 选择
@timestamp字段作为时间过滤器的字段。
- 在 Discover 页面查看审计日志。
- 在 Kibana 菜单栏选择 Discover。
- 选择已配置的 Index pattern,设置合适的时间范围,查看审计日志。
如需了解日志字段信息,请参见本文的审计日志字段说明。
在云搜索控制台查看审计日志
- 登录云搜索服务控制台。
- 在顶部导航栏,选择目标项目和地域。
- 在实例列表 v2页面,单击目标实例名称,进入实例详情页。
- 在实例详情的左侧导航栏选择可观测 > 安全审计,然后在数据面审计页面,即可查看到实例的数据面审计日志列表。
- 在审计日志列表,可通过近 1 小时、仅 1 天、近 1 周快速查看相应时间段内的审计日志,也可以通过时间筛选器自定义查询时间段。
- 在审计日志列表,支持通过事件类型和最多二十组筛选信息筛选审计日志。支持查询的事件类型如下:
- BAD_HEADERS
- FAILED_LOGIN
- MISSING_PRIVILEGES
- GRANTED_PRIVILEGES
- OPENDISTRO_SECURITY_INDEX_ATTEMPT
- SSL_EXCEPTION
- AUTHENTICATED
- INDEX_EVENT
- COMPLIANCE_DOC_READ
- COMPLIANCE_DOC_WRITE
- COMPLIANCE_EXTERNAL_CONFIG
- COMPLIANCE_INTERNAL_CONFIG_READ
- COMPLIANCE_INTERNAL_CONFIG_WRITE
审计日志字段说明
分类 | 字段名 | 类型 | 描述 |
|---|---|---|---|
时间 | @timestamp | date | 事件时间。 |
服务端 | audit_cluster_name | string | ES 实例 ID。 |
audit_node_host_address | string | ES 实例服务端主机地址。 | |
audit_node_host_name | string | ES 实例服务端主机名。 | |
audit_node_id | string | ES 实例服务端节点 ID。 | |
audit_node_name | string | ES 实例服务端节点名称。 | |
客户端 | audit_request_remote_address | string | 客户端 IP 地址。 |
访问者/账号 | audit_request_effective_user | string | 实际参与权限检查的用户,比如 admin。 |
audit_request_effective_user_is_admin | bool | 实际用户是否为 admin。 | |
audit_request_initiating_user | string | 发起请求的用户。仅当与实际参与权限检查的用户不相同时才会记录。 | |
事件类型/层次 | audit_category | enum | 事件类型。支持的事件类型请参见日志采集参数说明。 |
audit_request_layer | enum | 请求层次,REST 或 TRANSPORT。 | |
audit_request_origin | enum | 请求起源层次,REST 或 TRANSPORT。 | |
HTTP请求 | audit_rest_request_method | enum | HTTP 请求方法,如 GET、PUT、POST、DELETE、HEAD 等。 |
audit_rest_request_path | string | HTTP 请求路径。 | |
audit_rest_request_headers | object | HTTP 请求 Header。 | |
audit_rest_request_params | object | HTTP 请求参数。 | |
audit_request_body | string | HTTP 请求体。 | |
RPC 请求信息 | audit_transport_request_type | string | RPC 请求类型,如 |
audit_request_privilege | string | RPC 请求路径,如 | |
audit_transport_headers | object | RPC 请求 Header。 | |
audit_trace_resolved_indices | string array | 从请求中解析出来的索引。 |
如需了解审计日志字段的更多信息,请参见开源文档 Audit log field reference。