監査ログの有効化

認証失敗や拒否された接続などのセキュリティ関連のイベントをログに記録して、クラスターの不審な活動(データアクセスの承認やユーザーのセキュリティ設定の変更を含む)を監視できます。

監査ログは、攻撃が発生した場合の法医学的証拠も提供します。

監査ログはデフォルトで無効になっています。監査ログを明示的に有効にする必要があります。

監査ログは特定のサブスクリプションレベルでのみ利用可能です。詳細については、https://www.elastic.co/subscriptionsを参照してください。

監査ログを有効にするには:

  • 1. xpack.security.audit.enabledtrueに設定しますelasticsearch.yml
  • 2. Elasticsearchを再起動します。

監査ログが有効になっている場合、セキュリティイベントは、各クラスター ノードのホストのファイル システム上の専用の<clustername>_audit.jsonファイルに永続化されます。詳細については、ログファイル監査出力を参照してください。

ログに記録されるイベントや監査ログに含まれる情報を制御するために、追加のオプションを構成できます。詳細については、監査設定を参照してください。