导航
控制审计日志索引生命周期
最近更新时间:2025.03.10 15:42:38首次发布时间:2023.11.30 14:19:26
启用数据面审计功能后,在数据面审计功能页面增加了AuditOpenDays和AuditKeepDays两个参数,用于控制数据面审计日志索引的打开天数和保存天数。
背景信息
在实例的数据面审计页面查看AuditOpenDays和AuditKeepDays两个参数配置情况。
- AuditOpenDays:审计日志索引打开天数,取值范围为 1 到 1000 之间的整数(如输入小数则按四舍五入进行取整),默认值为 7。
- AuditKeepDays:审计日志索引保存天数,取值范围为 AuditOpenDays 取值到 1000 之间的整数(如输入小数则按四舍五入进行取整),默认值为 30。
通过配置AuditOpenDays和AuditKeepDays两个参数,就能控制审计日志索引的生命周期。您可以在 Kibana 的 Index Management > Index Policies 页面查看索引生命周期策略,默认已生成一个名为recycle_auditlog_policy的策略。recycle_auditlog_policy策略的内容如下:
- 指定的索引匹配模式为
.security-auditlog-*,与索引模式匹配的索引都将适配该生命周期策略。 - 索引初始状态为 fresh。
- 7 天后进入 trash 阶段,在该阶段将关闭索引。
- 30 天后进入 delete 阶段,在该阶段将删除索引。
{ "policy_id": "recycle_auditlog_policy", "description": "recycle auditlog index workflow", "last_updated_time": 1700449535942, "schema_version": 1, "error_notification": null, "default_state": "fresh", "states": [ { "name": "fresh", "actions": [], "transitions": [ { "state_name": "trash", "conditions": { "min_index_age": "7d" } } ] }, { "name": "trash", "actions": [ { "close": {} } ], "transitions": [ { "state_name": "delete", "conditions": { "min_index_age": "30d" } } ] }, { "name": "delete", "actions": [ { "delete": {} } ], "transitions": [] } ], "ism_template": { "index_patterns": [ ".security-auditlog-*" ], "priority": 100, "last_updated_time": 1700449535942 } }
注意事项
修改AuditOpenDays和AuditKeepDays参数配置后,实例不会重启,修改参数配置需要隔天(UTC 时间零点后)生效。
修改审计索引生命周期参数
- 在实例列表页面,单击目标实例名称进入实例详情。
- 在实例详情的左侧导航栏选择安全审计 > 数据面审计,单击审计配置参数后的修改按钮。
- 在弹出的修改审计配置参数窗口中,按需修改
AuditOpenDays和AuditKeepDays两个参数的取值后,单击确定。