Elasticsearch Xpack.security.audit.outputs:7.x 中的[索引、日志文件]?
Elasticsearch Xpack.security.audit.outputs: [index, logfile] in 7.x?
在 Elasticsearch 中,uptil 版本 6.2 可以通过在 elasticsearch.yml 文件
中设置此行将安全审计发送到 Elasticsearch 索引
xpack.security.audit.outputs: [ index, logfile ]
https://www.elastic.co/guide/en/x-pack/current/auditing.html#audit-log-settings
在版本 7.x 中,审计日志只能写入 clustername_audit.json 或控制台。
我的问题是如何将审核日志发送到 ES 索引版本 7.x,就像 6.2 一样?现在还有这样的选择吗?
谢谢!
是的,将审计日志直接发送到索引的选项消失了......你应该在每台 elasticsearch 机器上安装一个 Filebeat,并将审计日志输入集群,就像你应该做的那样集群日志。
https://www.elastic.co/de/blog/indexing-elasticsearch-audit-logs-with-filebeat
在 Elasticsearch 中,uptil 版本 6.2 可以通过在 elasticsearch.yml 文件
中设置此行将安全审计发送到 Elasticsearch 索引xpack.security.audit.outputs: [ index, logfile ]
https://www.elastic.co/guide/en/x-pack/current/auditing.html#audit-log-settings
在版本 7.x 中,审计日志只能写入 clustername_audit.json 或控制台。
我的问题是如何将审核日志发送到 ES 索引版本 7.x,就像 6.2 一样?现在还有这样的选择吗?
谢谢!
是的,将审计日志直接发送到索引的选项消失了......你应该在每台 elasticsearch 机器上安装一个 Filebeat,并将审计日志输入集群,就像你应该做的那样集群日志。
https://www.elastic.co/de/blog/indexing-elasticsearch-audit-logs-with-filebeat