有时候需要对一些日志的输出进行过滤,es的x-pack提供了这样的功能。可以通过一些配置来开启,所有的配置都可以在elasticsearch.yml里面进行配置。
开启审计
xpack.security.audit.enabled=true
表示开启审计,默认情况是false,开启之后会把一些审计事件放在_audit.json文件里。
审计事件
事件或者一些内容记录都是可以通过以下设置来进行配置:
xpack.security.audit.logfile.events.include
指定审计输出中包含哪些事件,一共包含:access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted这些事件。
xpack.security.audit.logfile.events.exclude
从输出中排除某些事件。默认情况下,不排除任何事件。
xpack.security.audit.logfile.events.emit_request_body
指定是否在某些特定事件(如authentication_failed)的REST请求中包含请求体,默认值是false。
本地节点设置
xpack.security.audit.logfile.emit_node_name
指定是否在每个审计事件中包含节点名作为字段,默认是true。
xpack.security.audit.logfile.emit_node_host_address
指定是否包含节点的ip地址作