在每个节点的elasticsearch.yaml文件中设置安全审计选项。
| 设置 | 说明 |
|---|---|
| 设置为true启用节点的审计。默认值是false。这会将审计事件内容输出到<clustername>_audit.json文件。 |
xpack.security.audit.logfile.events.include | 指定哪些事件包含在审计输出中。 默认为:access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied,tampered_request, run_as_denied, run_as_granted |
xpack.security.audit.logfile.events.exclude | 设置不记录审计的事件。默认为空 |
xpack.security.audit.logfile.events.emit_request_body | 设置是否包含REST请求中的请求body。默认是false。审计时不会进行过滤,所以可能包含敏感数据 |
xpack.security.audit.logfile.emit_node_name | 设置是否包含node name。默认是false |
xpack.security.audit.logfile.emit_node_host_address | 设置是否包含节点的ip地址。默认是false |
xpack.security.audit.logfile.emit_node_host_name | 设置是否包含节点的主机名。默认是false |
xpack.security.audit.logfile.emit_node_id | 设置是否包含节点的id。默认是true |