security - Elasticsearch Xpack.security.audit.outputs：7.x 中的[索引，日志文件]？

Question

在 Elasticsearch 中，uptil 6.2 版可以通过在 elasticsearch.yml 文件中设置这一行来将安全审计发送到 Elasticsearch 索引

xpack.security.audit.outputs: [ index, logfile ]

https://www.elastic.co/guide/en/x-pack/current/auditing.html#audit-log-settings

在 7.x 版本中，审计日志只能写入 clustername_audit.json 或控制台。

我的问题是如何将审计日志发送到 ES 索引版本 7.x，就像 6.2 一样？现在还有这样的选择吗？

谢谢！

Answer 1

是的，将审计日志直接发送到索引的选项已经消失......您应该在每台 elasticsearch 机器上安装 Filebeat，并将审计日志馈送到集群中，就像处理集群日志一样。

https://www.elastic.co/de/blog/indexing-elasticsearch-audit-logs-with-filebeat