审计日志字段参考
本页面包含所有审计日志字段的描述。
通用属性
以下属性将记录所有事件类别,与层无关。
| 名称 | 描述 |
|---|---|
audit_format_version | 审计日志消息格式版本。 |
audit_category | 审计日志类别。FAILED_LOGIN、MISSING_PRIVILEGES、BAD_HEADERS、SSL_EXCEPTION、OPENSEARCH_SECURITY_INDEX_ATTEMPT、AUTHENTICATED 或 GRANTED_PRIVILEGES。 |
audit_node_id | 生成事件的节点 ID。 |
audit_node_name | 生成事件的节点名称。 |
audit_node_host_address | 生成事件的节点主机地址。 |
audit_node_host_name | 生成事件的节点主机名。 |
audit_request_layer | 生成事件的层,可以是 TRANSPORT 或 REST。 |
audit_request_origin | 事件源自的层,可以是 TRANSPORT 或 REST。 |
audit_request_effective_user_is_admin | 如果请求是使用 TLS 管理员证书发出的,则为 true,否则为 false。 |
REST FAILED_LOGIN 属性
| 名称 | 描述 |
|---|---|
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_rest_request_path | REST 端点 URI。 |
audit_rest_request_params | HTTP 请求参数(如果有)。 |
audit_rest_request_headers | HTTP 头(如果有)。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_rest_request_method | HTTP 请求方法。 |
REST AUTHENTICATED 属性
| 名称 | 描述 |
|---|---|
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_rest_request_path | REST 端点 URI。 |
audit_rest_request_params | HTTP 请求参数(如果有)。 |
audit_rest_request_headers | HTTP 头(如果有)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_rest_request_method | HTTP 请求方法。 |
REST SSL_EXCEPTION 属性
| 名称 | 描述 |
|---|---|
audit_request_exception_stacktrace | SSL 异常的堆栈跟踪。 |
REST BAD_HEADERS 属性
| 名称 | 描述 |
|---|---|
audit_rest_request_path | REST 端点 URI。 |
audit_rest_request_params | HTTP 请求参数(如果有)。 |
audit_rest_request_headers | HTTP 头(如果有)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
Transport FAILED_LOGIN 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id | 请求 ID。 |
audit_transport_headers | 请求头(如果有)。 |
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_transport_request_type | 请求类型(例如 IndexRequest)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices | 请求中包含的索引名称。可以包含通配符、日期模式和别名。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_resolved_indices | 受请求影响的已解析索引名称。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_doc_types | 受请求影响的文档类型。仅当 resolve_indices 为 true 时才记录。 |
Transport AUTHENTICATED 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id | 请求 ID。 |
audit_transport_headers | 请求头(如果有)。 |
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_transport_request_type | 请求类型(例如 IndexRequest)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices | 请求中包含的索引名称。可以包含通配符、日期模式和别名。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_resolved_indices | 受请求影响的已解析索引名称。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_doc_types | 受请求影响的文档类型。仅当 resolve_indices 为 true 时才记录。 |
Transport MISSING_PRIVILEGES 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id | 请求 ID。 |
audit_trace_task_parent_id | 此请求的父 ID(如果有)。 |
audit_transport_headers | 请求头(如果有)。 |
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_transport_request_type | 请求类型(例如 IndexRequest)。 |
audit_request_privilege | 请求所需的权限(例如 indices:data/read/search)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices | 请求中包含的索引名称。可以包含通配符、日期模式和别名。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_resolved_indices | 受请求影响的已解析索引名称。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_doc_types | 受请求影响的文档类型。仅当 resolve_indices 为 true 时才记录。 |
Transport GRANTED_PRIVILEGES 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id | 请求 ID。 |
audit_trace_task_parent_id | 此请求的父 ID(如果有)。 |
audit_transport_headers | 请求头(如果有)。 |
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_transport_request_type | 请求类型(例如 IndexRequest)。 |
audit_request_privilege | 请求所需的权限(例如 indices:data/read/search)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices | 请求中包含的索引名称。可以包含通配符、日期模式和别名。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_resolved_indices | 受请求影响的已解析索引名称。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_doc_types | 受请求影响的文档类型。仅当 resolve_indices 为 true 时才记录。 |
Transport SSL_EXCEPTION 属性
| 名称 | 描述 |
|---|---|
audit_request_exception_stacktrace | SSL 异常的堆栈跟踪。 |
Transport BAD_HEADERS 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id | 请求 ID。 |
audit_trace_task_parent_id | 此请求的父 ID(如果有)。 |
audit_transport_headers | 请求头(如果有)。 |
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_transport_request_type | 请求类型(例如 IndexRequest)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices | 请求中包含的索引名称。可以包含通配符、日期模式和别名。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_resolved_indices | 受请求影响的已解析索引名称。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_doc_types | 受请求影响的文档类型。仅当 resolve_indices 为 true 时才记录。 |
Transport OPENSEARCH_SECURITY_INDEX_ATTEMPT 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id | 请求 ID。 |
audit_transport_headers | 请求头(如果有)。 |
audit_request_effective_user | 未能通过身份验证的用户名。 |
audit_request_initiating_user | 发起请求的用户。仅当其与有效用户不同时才记录。 |
audit_transport_request_type | 请求类型(例如 IndexRequest)。 |
audit_request_body | HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices | 请求中包含的索引名称。可以包含通配符、日期模式和别名。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_resolved_indices | 受请求影响的已解析索引名称。仅当 resolve_indices 为 true 时才记录。 |
audit_trace_doc_types | 受请求影响的文档类型。仅当 resolve_indices 为 true 时才记录。 |