보안 설정 감사

보안 설정 감사

감사 로깅 을 사용 하여 인증 실패, 거부 된 연결 및 데이터 액세스 이벤트와 같은 보안 관련 이벤트를 기록 할 수 있습니다.

구성된 경우 클러스터의 모든 노드에서 감사 설정을 설정해야합니다. 와 같은 정적 설정 은 각 노드 xpack.security.audit.enabled에서 구성해야 elasticsearch.yml합니다. 동적 감사 설정의 경우 클러스터 업데이트 설정 API 를 사용하여 설정이 모든 노드에서 동일한 지 확인합니다.

일반 감사 설정

xpack.security.audit.enabled

( 정적 ) true노드에서 감사를 활성화 하려면 로 설정합니다. 기본값은 false입니다. 이렇게하면 감사 이벤트가 <clustername>_audit.json각 노드에 명명 된 전용 파일 에 저장됩니다.

활성화 된 경우이 설정은 elasticsearch.yml클러스터의 모든 노드에서 구성되어야 합니다.

감사 된 이벤트 설정

기록되는 항목에 대한 이벤트 및 기타 정보는 다음 설정을 사용하여 제어 할 수 있습니다.

xpack.security.audit.logfile.events.include( 동적 ) 감사 출력에 포함 할 이벤트를 지정합니다. 기본값은 access_denied, access_granted, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted입니다.

xpack.security.audit.logfile.events.exclude( 동적 ) 출력에서 ​​지정된 이벤트를 제외합니다. 기본적으로 이벤트는 제외되지 않습니다.

xpack.security.audit.logfile.events.emit_request_body

( 동적 ) 같은 특정 이벤트 유형에 REST 요청의 요청 본문을 포함할지 여부를 지정합니다 authentication_failed. 기본값은 false입니다.

감사시 필터링이 수행되지 않으므로 감사 이벤트에 요청 본문을 포함 할 때 민감한 데이터가 일반 텍스트로 감사 될 수 있습니다.

로컬 노드 정보 설정

xpack.security.audit.logfile.emit_node_name( 동적 ) 각 감사 이벤트의 필드로 노드 이름 을 포함할지 여부를 지정합니다 . 기본값은 false입니다.

xpack.security.audit.logfile.emit_node_host_address( 동적 ) 노드의 IP 주소를 각 감사 이벤트의 필드로 포함할지 여부를 지정합니다. 기본값은 false입니다.

xpack.security.audit.logfile.emit_node_host_name( Dynamic ) 노드의 호스트 이름을 각 감사 이벤트의 필드로 포함할지 여부를 지정합니다. 기본값은 false입니다.

xpack.security.audit.logfile.emit_node_id( Dynamic ) 각 감사 이벤트의 필드로 노드 ID를 포함할지 여부를 지정합니다. 이는 새 형식에만 사용할 수 있습니다. 즉,이 정보는 <clustername>_access.log파일에 존재하지 않습니다 . 관리자가 구성 파일의 설정을 변경하면 값이 변경 될 수있는 node name 과 달리 노드 ID는 클러스터를 다시 시작해도 유지되며 관리자가 변경할 수 없습니다. 기본값은 true입니다.