Elasticsearch Xpack.security.audit.outputs：7.x 中的 [索引，日志文件]？答案

【问题标题】：Elasticsearch Xpack.security.audit.outputs: [index, logfile] in 7.x?Elasticsearch Xpack.security.audit.outputs：7.x 中的 [索引，日志文件]？
【发布时间】：2020-04-26 14:52:52
【问题描述】：

在 Elasticsearch 中，直到 6.2 版，可以通过在 elasticsearch.yml 文件中设置这一行来将安全审计发送到 Elasticsearch 索引

xpack.security.audit.outputs: [ index, logfile ]

https://www.elastic.co/guide/en/x-pack/current/auditing.html#audit-log-settings

在 7.x 版本中，审核日志只能写入 clustername_audit.json 或控制台。

我的问题是如何将审计日志发送到 ES 索引版本 7.x，就像 6.2 一样？现在还有这样的选择吗？

谢谢！

【问题讨论】：

标签： security elasticsearch audit xpack

【解决方案1】：

是的，将审计日志直接发送到索引的选项不见了...您应该在每台 elasticsearch 机器上安装 Filebeat，并将审计日志提供给集群，就像您对集群所做的那样记录。

https://www.elastic.co/de/blog/indexing-elasticsearch-audit-logs-with-filebeat

【讨论】：