开启Audit Log

我们可以为Amazon OpenSearch 服务启用Audit log,以跟踪用户在集群上的活动。可以跟踪的一些活动包括身份验证成功和失败、对 OpenSearch 的请求、索引更新以及传入的搜索查询。还可以根据需要调整跟踪参数。

启用Audit Log

进入OpenSearch页面:

image-20240617202428428

选择 [Logs] 选项卡 ,选择 [Audit Logs] ,然后单击 Enable

image-20240617202506526

Setup audit logs 页面上,保留所有默认设置,然后单击 Enable

image-20240617202606129

虽然 Amazon OpenSearch Service 会生成慢日志、错误日志和审核日志,但这些消息会被发送到 CloudWatch Logs 进行持久化,而不会存储在域内部。

配置Audit Log

接下来,我们需要配置 OpenSearch,并告诉它要监控哪些文档或字段作为Audit Log的一部分。先创建一个新的 accounts 索引。

进入OpenSearch Dashboard,单击左上角的导航菜单,然后单击菜单中的 Security

单击 Audit Logs,然后单击 Enable 审核日志

Compliance settings 部分,选择 Configure

Read 部分,在 compliance:read_watched_fields 字段中添加以下内容:

{
  "accounts": [ "ssn" ]
}

Write 部分,在 compliance:write_watched_indices 字段中添加 accounts,然后单击 Save

我们刚刚配置了 OpenSearch,以便在读取 accounts 索引中的 ssn]字段或对 accounts 索引进行写入操作时发送审核日志事件。

![image-20240617203356288](/Users/kpingfan/Library/Application Support/typora-user-images/image-20240617203356288.png)