有时候需要对一些日志的输出进行过滤，es的x-pack提供了这样的功能。可以通过一些配置来开启，所有的配置都可以在elasticsearch.yml里面进行配置。

开启审计

xpack.security.audit.enabled=true

表示开启审计，默认情况是false，开启之后会把一些审计事件放在_audit.json文件里。

审计事件

事件或者一些内容记录都是可以通过以下设置来进行配置：

xpack.security.audit.logfile.events.include

指定审计输出中包含哪些事件，一共包含：access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted这些事件。

xpack.security.audit.logfile.events.exclude

从输出中排除某些事件。默认情况下，不排除任何事件。

xpack.security.audit.logfile.events.emit_request_body

指定是否在某些特定事件(如authentication_failed)的REST请求中包含请求体，默认值是false。

本地节点设置

xpack.security.audit.logfile.emit_node_name

指定是否在每个审计事件中包含节点名作为字段，默认是true。

xpack.security.audit.logfile.emit_node_host_address

指定是否包含节点的ip地址作