Elasticsearch Xpack.security.audit.outputs:7.x 中的[索引、日志文件]?

Elasticsearch Xpack.security.audit.outputs: [index, logfile] in 7.x?

在 Elasticsearch 中,uptil 版本 6.2 可以通过在 elasticsearch.yml 文件

中设置此行将安全审计发送到 Elasticsearch 索引
xpack.security.audit.outputs: [ index, logfile ]

https://www.elastic.co/guide/en/x-pack/current/auditing.html#audit-log-settings

在版本 7.x 中,审计日志只能写入 clustername_audit.json 或控制台。

我的问题是如何将审核日志发送到 ES 索引版本 7.x,就像 6.2 一样?现在还有这样的选择吗?

谢谢!

是的,将审计日志直接发送到索引的选项消失了......你应该在每台 elasticsearch 机器上安装一个 Filebeat,并将审计日志输入集群,就像你应该做的那样集群日志。

https://www.elastic.co/de/blog/indexing-elasticsearch-audit-logs-with-filebeat