审计配置 #

操作步骤 #

1. 进入审计日志页面：在左侧导航栏点击「审计日志」，进入审计日志管理页。

2. 打开审计配置弹窗：点击页面右上角的「审计配置」按钮，弹出「审计配置」配置窗口。

3. 配置基础审计参数：
   • 开启审计：打开「开启审计」总开关，启用系统审计功能。
   • 合规配置：按需开启「记录日志差异」「仅读取元数据」「仅写入元数据」开关。
   • 网络配置：按需开启「外部配置」「内部配置」开关。
   • 读取监控字段：在输入框中填写自定义 JSON 格式的监控字段配置。

4. 配置审计范围与规则：
   • 读写过滤：按需填写「读取忽略用户」「写入监控索引」「写入忽略用户」。
   • 审计开关：按需开启「开启 REST 审计」「开启 Transport 审计」「记录请求体」「解析索引」「解析批量请求」。
   • 敏感信息处理：开启「排除敏感头」开关，自动过滤敏感头部信息。
   • 精准过滤：按需填写「仅包含用户」「忽略用户」「忽略请求」。
   • 类别禁用：在「禁用 REST 类别」「禁用 Transport 类别」中，选择需要排除审计的请求类别。

5. 保存配置：完成所有配置后，点击弹窗右下角的「保存」按钮，生效审计规则。

6. 查看审计日志：配置生效后，系统将采集符合规则的审计事件，可在审计日志列表中查看、刷新或导出日志。

注意事项 #

• 开启审计功能会对集群性能产生一定影响（尤其是「记录请求体」和「解析批量请求」），在高负载集群上建议根据实际需要有选择性地开启。
• 建议配置「忽略用户」排除系统内部用户和监控账号，避免产生大量无意义的审计记录。
• 「仅读取元数据」和「仅写入元数据」开启后将只记录操作元信息而不记录具体内容，可在满足合规要求的同时降低日志量。
• 「排除敏感头」建议始终保持开启，避免将认证凭据等敏感信息写入审计日志。
• 审计配置修改后立即生效，无需重启集群。