从官方的Elastic Search文档中,我看到:启用审计日志记录时,安全事件将持久化到主机文件系统上的每个群集节点上的专用_json. json文件中。我正在尝试找到一种方法,如果可能的话,以将Elastic Search审计日志存储在不同类型的存储上的方式配置Elastic Search。您能帮助我吗?P.S.审计日志是可定制的吗?我的意思是,事件是可定制的,定制信息包含在日志中吗?谢谢
u59ebvdq1#
如果可能,将Elastic Search配置为将审核日志存储在不同类型的存储上如果您正在寻找temper evidence或temper resistance,the elasticsearch team's recommendation将使用日志发送程序将事件发送到具有所需特征的另一个系统。事件是否可自定义,以便日志中包含自定义信息?它们只能根据您要排除的事件以及是否要包含事件主体进行自定义。这可以通过设置来完成。您还可以在log4j2.properties文件中控制日志记录格式。不确定您尝试记录的是哪些自定义信息,但将自定义数据与查询关联的一种方法是将其存储在查询的X-Opaque-Id HTTP标头中。默认情况下,它会记录在审计日志中。
1条答案
按热度按时间u59ebvdq1#
如果可能,将Elastic Search配置为将审核日志存储在不同类型的存储上
如果您正在寻找temper evidence或temper resistance,the elasticsearch team's recommendation将使用日志发送程序将事件发送到具有所需特征的另一个系统。
事件是否可自定义,以便日志中包含自定义信息?
它们只能根据您要排除的事件以及是否要包含事件主体进行自定义。这可以通过设置来完成。您还可以在log4j2.properties文件中控制日志记录格式。
不确定您尝试记录的是哪些自定义信息,但将自定义数据与查询关联的一种方法是将其存储在查询的X-Opaque-Id HTTP标头中。默认情况下,它会记录在审计日志中。