You need to enable JavaScript to run this app.
导航
查询数据面审计日志
最近更新时间:2025.03.10 15:42:38首次发布时间:2023.11.30 14:19:25
我的收藏
有用
有用
无用
无用

数据面审计日志需要手动启用,通过内置系统插件记录事件到实例本身。本文介绍在 Kibana/Dashboards 页面和云搜索控制台查看数据面审计日志的方法。

  • 对于 ES 实例,内置系统插件为opendistro_security
  • 对于 OpenSearch 实例,内置系统插件为opensearch-security

功能限制

目前仅 7.10.2 版本的 ES 实例和 2.9.0 版本的 OpenSearch 实例支持安全审计功能。

查看审计日志

数据面审计开启后,将会记录读写索引、修改索引 mappings 和 settings、查看集群健康度等事件,并将这些数据访问事件写入有固定前缀和后缀的索引:

  • 对于 ES 实例,前缀为 .security-auditlog-,后缀为日期。
  • 对于 OpenSearch 实例,前缀为 security-auditlog-,后缀为日期。

在 Kibana/Dashboards 页面查看审计日志

您可以在通过配置索引样式,然后在 Discover 页面查看审计日志。

  1. 通过公网地址登录 Kibana/Dashboards 页面。相关文档,请参见登录 Kibana/Dashboards
  2. 配置索引匹配样式。
    1. 在 Kibana 菜单栏选择 Stack Management > Index patterns,然后单击 Create index pattern
    2. 设置 Index pattern 为.security-auditlog-*
      Image
    3. 选择@timestamp字段作为时间过滤器的字段。
      Image
  3. 在 Discover 页面查看审计日志。
    1. 在 Kibana 菜单栏选择 Discover
    2. 选择已配置的 Index pattern,设置合适的时间范围,查看审计日志。
      如需了解日志字段信息,请参见本文的审计日志字段说明
      Image

在云搜索控制台查看审计日志

  1. 登录云搜索服务控制台
  2. 在顶部导航栏,选择目标项目和地域。
  3. 实例列表 v2页面,单击目标实例名称,进入实例详情页。
  4. 在实例详情的左侧导航栏选择可观测 > 安全审计,然后在数据面审计页面,即可查看到实例的数据面审计日志列表。
    • 在审计日志列表,可通过近 1 小时、仅 1 天、近 1 周快速查看相应时间段内的审计日志,也可以通过时间筛选器自定义查询时间段。
    • 在审计日志列表,支持通过事件类型和最多二十组筛选信息筛选审计日志。支持查询的事件类型如下:
      • BAD_HEADERS
      • FAILED_LOGIN
      • MISSING_PRIVILEGES
      • GRANTED_PRIVILEGES
      • OPENDISTRO_SECURITY_INDEX_ATTEMPT
      • SSL_EXCEPTION
      • AUTHENTICATED
      • INDEX_EVENT
      • COMPLIANCE_DOC_READ
      • COMPLIANCE_DOC_WRITE
      • COMPLIANCE_EXTERNAL_CONFIG
      • COMPLIANCE_INTERNAL_CONFIG_READ
      • COMPLIANCE_INTERNAL_CONFIG_WRITE

审计日志字段说明

分类

字段名

类型

描述

时间

@timestamp

date

事件时间。

服务端

audit_cluster_name

string

ES 实例 ID。

audit_node_host_address

string

ES 实例服务端主机地址。

audit_node_host_name

string

ES 实例服务端主机名。

audit_node_id

string

ES 实例服务端节点 ID。

audit_node_name

string

ES 实例服务端节点名称。

客户端

audit_request_remote_address

string

客户端 IP 地址。

访问者/账号

audit_request_effective_user

string

实际参与权限检查的用户,比如 admin。

audit_request_effective_user_is_admin

bool

实际用户是否为 admin。

audit_request_initiating_user

string

发起请求的用户。仅当与实际参与权限检查的用户不相同时才会记录。

事件类型/层次

audit_category

enum

事件类型。支持的事件类型请参见日志采集参数说明

audit_request_layer

enum

请求层次,REST 或 TRANSPORT。

audit_request_origin

enum

请求起源层次,REST 或 TRANSPORT。

HTTP请求

audit_rest_request_method

enum

HTTP 请求方法,如 GET、PUT、POST、DELETE、HEAD 等。

audit_rest_request_path

string

HTTP 请求路径。

audit_rest_request_headers

object

HTTP 请求 Header。

audit_rest_request_params

object

HTTP 请求参数。

audit_request_body

string

HTTP 请求体。

RPC 请求信息

audit_transport_request_type

string

RPC 请求类型,如CreateIndexRequest

audit_request_privilege

string

RPC 请求路径,如indices:admin/create

audit_transport_headers

object

RPC 请求 Header。

audit_trace_resolved_indices

string array

从请求中解析出来的索引。

如需了解审计日志字段的更多信息,请参见开源文档 Audit log field reference