启用数据面审计后,您可以选择在 Kibana 页面配置审计日志采集参数。日志采集参数有默认缺省值,支持您按需修改采集参数。
日志参数配置入口
- 通过公网地址登录 Kibana 页面。相关文档,请参见登录 Kibana/Dashboards。
- 在 Kibana 菜单栏选择 Security > Audit logs。
- 按需配置日志采集参数。
日志采集参数说明
配置分类 | 参数名 | 描述 |
|---|---|---|
审计日志 | Storage location | 审计输出位置,固定值为 internal_elasticsearch。 |
Enable audit logging | 审计总开关,效果与 ES 实例详情中的数据面审计开关相同。
| |
层次配置 | REST layer | 采集 HTTP 请求的开关。
|
REST disabled categories | 采集过程中忽略的 HTTP 事件类型列表,为空时表示全量采集。 | |
Transport layer | 采集 RPC 请求的开关。
| |
Transport disabled categories | 采集过程中忽略的 RPC 事件类型列表,为空时表示全量采集。 | |
属性配置 | Bulk requests | 展开批量写入(
|
Request body | 记录请求体的开关。
| |
Resolve indices | 从请求中提取索引名的开关,当且仅当打开 RPC 采集时生效。
| |
Sensitive headers | 是否过滤敏感 header 的开关,建议打开。
| |
忽略列表 | Ignored users | 忽略采集的账号列表,允许使用 |
Ignored requests | 忽略采集的请求列表,允许使用 |
事件类型
事件分类 | 事件 | 埋点层次 | 描述 |
|---|---|---|---|
失败 | FAILED_LOGIN | REST、Transport | 身份认证失败,大概率是用户不存在或密码错误。 |
MISSING_PRIVILEGES | Transport | 访问者没有执行请求的权限。 | |
异常 | SSL_EXCEPTION | REST、Transport | 当前访问没有可信的 SSL 或 TLS 证书。 |
OPENDISTRO_SECURITY_INDEX_ATTEMPT | Transport | 越权请求,非 admin 或未授权用户尝试修改安全插件内部用户或权限索引。 | |
BAD_HEADERS | REST、Transport | 危险请求,尝试覆盖安全插件内部 header。 | |
成功 | AUTHENTICATED | REST、Transport | 权限认证成功。 |
GRANTED_PRIVILEGES | Transport | 请求执行成功。 | |
标签 | INDEX_EVENT | Transport | 索引管理事件:indices:admin/*。 |