Intro::
엘라스틱서치 공식문서 정리본입니다.
Auditing security settings
audit logging을 사용하여 인증 실패, 연결 거부, 데이터 액세스 이벤트 등 보안 관련 이벤트를 기록할 수 있습니다. 또한 기본 및 기본 제공 사용자, 역할, 역할 매핑 및 API 키의 생성, 업데이트 및 제거와 같은 보안 구성에 대한 API를 통한 변경 사항도 기록됩니다.
구성된 경우, audit logging은 클러스터의 모든 노드에서 설정해야 합니다. xpack.security.audit.enabled와 같은 정적 설정은 각 노드의 elasticsearch.yml에서 구성해야 합니다. 동적 audit설정의 경우, cluster update settings API를 사용하여 모든 노드에서 설정이 동일한지 확인하세요.
General Auditing Settings
xpack.security.audit.enabled(Static) 노드에서 auditing을 사용하려면 true로 설정합니다. 기본값은 false입니다. 이렇게 하면 audit이벤트가 각 노드의 <clustername>_audit.json이라는 전용 파일에 저장됩니다.
활성화된 경우, 클러스터의 모든 노드에 있는 elasticsearch.yml에서 이 설정을 구성해야 합니다.
Audited Event Settings
다음 설정을 사용하여 이벤트 및 기타 기록되는 정보를 제어할 수 있습니다:
xpack.security.audit.logfile.events.include(Dynamic) audit출력에 인쇄할 이벤트의 종류를 지정합니다. 또한 _all을 사용하여 모든 이벤트를 철저히 audit할 수도 있지만, 일반적으로 매우 장황해지므로 권장하지 않습니다. 기본 목록 값에는 access_denied, access_granted, anonymous_access_denied, authentication_failed,
connection_denied, tampered_request, run_as_denied, run_as_granted,
security_config_change 이 포함됩니다.
xpack.security.audit.logfile.events.exclude(Dynamic) 포함 목록에서 지정된 종류의 이벤트를 제외합니다. 이 설정은 events.include 설정에 특수 값 _all이 포함된 경우에 유용합니다. 기본값은 빈 목록입니다.
xpack.security.audit.logfile.events.emit_request_body(Dynamic) 특정 종류의 audit이벤트의 속성으로 REST 요청의 전체 요청 본문을 포함할지 여부를 지정합니다. 이 설정은 검색 쿼리를 audit하는 데 사용할 수 있습니다.
기본값은 false이므로 요청 본문이 인쇄되지 않습니다.
audit 이벤트에 요청 본문을 포함할 경우 사용자의 비밀번호를 변경하는 보안 API 등 모든 보안 API가 audit시 자격 증명을 필터링하더라도 민감한 데이터는 일반 텍스트로 audit수 있다는 점에 유의하세요.
Local Node Info Settings
xpack.security.audit.logfile.emit_node_name(Dynamic) 각 audit 이벤트에 노드 이름을 필드로 포함할지 여부를 지정합니다. 기본값은 false입니다.
xpack.security.audit.logfile.emit_node_host_address(Dynamic) 각 audit 이벤트에 노드의 IP 주소를 필드로 포함할지 여부를 지정합니다. 기본값은 false입니다.
xpack.security.audit.logfile.emit_node_host_name(Dynamic) 각 audit 이벤트에 노드의 호스트 이름을 필드로 포함할지 여부를 지정합니다. 기본값은 false입니다.
xpack.security.audit.logfile.emit_node_id(Dynamic) 각 audit 이벤트에 노드 ID를 필드로 포함할지 여부를 지정합니다. 관리자가 구성 파일에서 설정을 변경하면 값이 변경될 수 있는 노드 이름과 달리 노드 ID는 클러스터가 다시 시작될 때에도 유지되며 관리자는 이를 변경할 수 없습니다. 기본값은 true입니다.
Audit Logfile Event Ignore Policies
다음 설정은 로그 파일에 인쇄되는 audit 이벤트를 세밀하게 제어할 수 있는 무시 정책에 영향을 줍니다. 정책 이름이 같은 모든 설정은 하나의 정책을 형성하기 위해 결합됩니다. 이벤트가 모든 정책의 모든 조건과 일치하면 이벤트가 무시되고 인쇄되지 않습니다. 대부분의 audit 이벤트는 무시 정책의 적용을 받습니다. 유일한 예외는 보안_config_change 유형의 이벤트로, 모두 제외하지 않는 한 필터링할 수 없습니다.
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.users(Dynamic) 사용자 이름 또는 와일드카드 목록입니다. 지정된 정책은 이 값과 일치하는 사용자에 대한 audit 이벤트를 인쇄하지 않습니다.
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.realms(Dynamic) 인증 영역 이름 또는 와일드카드 목록입니다. 지정된 정책은 이러한 영역에 있는 사용자에 대한 audit 이벤트를 인쇄하지 않습니다.
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.actions(Dynamic) 작업 이름 또는 와일드카드 목록입니다. 작업 이름은 audit 이벤트의 작업 필드에서 찾을 수 있습니다. 지정된 정책은 이 값과 일치하는 작업에 대한 audit 이벤트를 인쇄하지 않습니다.
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.roles(Dynamic) 역할 이름 또는 와일드카드 목록입니다. 지정된 정책은 이러한 역할을 가진 사용자에 대한 audit 이벤트를 인쇄하지 않습니다. 사용자에게 여러 역할이 있고 그 중 일부 역할이 정책에 적용되지 않는 경우에는 정책에서 이 이벤트가 적용되지 않습니다.
xpack.security.audit.logfile.events.ignore_filters.<policy_name>.indices(Dynamic) 인덱스 이름 또는 와일드카드 목록입니다. 이벤트의 모든 인덱스가 이 값과 일치하는 경우 지정된 정책은 audit 이벤트를 인쇄하지 않습니다. 이벤트가 여러 인덱스와 관련되어 있고 그 중 일부는 정책에서 다루지 않는 경우 정책에서 이 이벤트를 다루지 않습니다.
![Auditing security settings | Elasticsearch Guide [8.14] | Elastic](/_next/image?url=https%3A%2F%2Fwww.notion.so%2Fimage%2Fhttps%253A%252F%252Fwww.elastic.co%252Fandroid-chrome-192x192.png%3Ftable%3Dblock%26id%3Dd5480ddd-c6c8-4f3f-b6ba-f12d3722f297%26cache%3Dv2&w=3840&q=75)
![Auditing security settings | Elasticsearch Guide [8.14] | Elastic](/_next/image?url=https%3A%2F%2Fwww.notion.so%2Fimage%2Fhttps%253A%252F%252Fstatic-www.elastic.co%252Fv3%252Fassets%252Fbltefdd0b53724fa2ce%252Fblt280217a63b82a734%252F6202d3378b1f312528798412%252Felastic-logo.svg%3Ftable%3Dblock%26id%3Dd5480ddd-c6c8-4f3f-b6ba-f12d3722f297%26cache%3Dv2&w=1080&q=75){kind=logo}
Loading Comments...