【Elasticsearch】审计日志（一）：General settings

《Elasticsearch 审计日志》系列，共包含以下文章：

• 审计日志（一）：General settings
• 审计日志（二）：Compliance settings（合规性审计设置）
• 审计日志（三）：案例实战分析

😊 如果您觉得这篇文章有用 ✔️ 的话，请给博主一个一键三连 🚀🚀🚀 吧 （点赞 🧡、关注 💛、收藏 💚）！！！您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容！！！

本文将为您介绍 Elasticsearch 审计日志设置中各参数的含义和作用。

1.层级设置（Layer settings）

1.1 REST 层设置

• audit:enable_rest
  • 作用：启用或禁用 REST 层的审计事件记录
  • 当前值：Enabled（启用）
  • 说明：启用后，所有通过 REST API 执行的操作都会被审计记录
• audit:disabled_rest_categories
  • 作用：指定在 REST 层忽略的审计类别
  • 当前忽略的类别：
    • AUTHENTICATED（认证事件）
    • GRANTED_PRIVILEGES（授予权限事件）
  • 说明：忽略这些类别可减少审计日志量，但会缺失相关安全事件的记录

1.2 Transport 层设置

• audit:enable_transport
  • 作用：启用或禁用传输层（节点间通信）的审计事件记录
  • 当前值：Disabled（禁用）
• audit:disabled_transport_categories
  • 作用：指定在传输层忽略的审计类别
  • 当前忽略的类别：
    • AUTHENTICATED
    • GRANTED_PRIVILEGES

2.属性设置（Attribute settings）

• audit:resolve_bulk_requests
  • 作用：审计时是否解析批量请求
  • 当前值：Enabled（启用）
  • 说明：启用后会为批量请求中的每个文档生成单独日志，会增加系统开销
• audit:log_request_body
  • 作用：是否在审计日志中包含请求体
  • 当前值：Enabled（启用）
  • 说明：有助于事后分析，但可能包含敏感信息
• audit:resolve_indices
  • 作用：审计时是否解析索引名称
  • 当前值：Enabled（启用）
  • 说明：记录操作涉及的具体索引名称
• audit:exclude_sensitive_headers
  • 作用：是否排除敏感请求头（如授权头）
  • 当前值：Disabled（禁用）
  • 说明：启用后保护敏感凭证信息不被记录

3.忽略设置（Ignore settings）

• audit:ignore_users
  • 作用：指定审计时要忽略的用户
  • 当前忽略的用户：无
  • 默认值：kibanaserver（系统用户）
  • 说明：减少指定用户产生的审计日志量
• audit:ignore_requests
  • 作用：指定要忽略的请求模式
  • 当前值：“ignored requests”（示例值，实际应配置具体模式）
  • 说明：可配置正则表达式模式来忽略特定类型的请求

4.重要注意事项

• 1️⃣ 许多设置旁都有警告 “可能造成显著开销”，因为这些设置会影响：
  • 审计日志量
  • 系统性能
  • 存储需求
• 2️⃣ 最佳实践建议：
  • 生产环境中应平衡安全需求与性能影响。
  • 敏感操作建议保持详细审计。
  • 高频操作可考虑适当忽略以减少日志量。
• 3️⃣ 修改这些设置需要根据组织的安全合规要求进行调整，某些行业标准可能要求特定的审计级别。