Elasticsearch的审计日志（Audit Logging）介绍

Elasticsearch 的审计日志（Audit Logging）是一种记录与安全相关事件的功能，用于监控和追踪对集群的访问行为。通过审计日志，管理员可以了解谁在何时对哪些资源执行了什么操作，从而满足合规性要求、进行安全分析和排查异常行为。

一、审计日志的核心功能

1. 记录安全事件

• 捕获与认证、授权、访问控制相关的事件，包括：
• 成功/失败的登录尝试。
• 权限检查结果（允许/拒绝）。
• 敏感操作（如修改集群设置、删除索引）。
• 安全配置变更（如角色、用户修改）。

2. 支持多种输出目标

• 日志文件：输出到本地文件（默认）。
• Elasticsearch 索引：存储到 Elasticsearch 自身，便于搜索和分析。
• 外部系统：通过自定义插件发送到 SIEM（安全信息与事件管理）系统。

3. 事件过滤

• 通过配置白名单/黑名单，仅记录感兴趣的事件，减少日志量。

4. 敏感数据掩码

• 自动隐藏请求中的敏感信息（如密码、信