在弹性云上追踪请求来源

Question

我有一个旧的Elasticsearch集群，它不应该获得流量，但不知何故，它仍然是。我有成百上千的服务可能正在冲击它。我正在寻找一种可能捕获请求来源的方法，这样我就可以看到请求来自哪里。我尝试启用REST请求跟踪器，但似乎没有任何作用(https://www.elastic.co/guide/en/elasticsearch/reference/current/modules-http.html)。

有什么想法吗？

Answer 1

如果您启用了身份验证(或者可以启用它并让请求失败)，那么我将启用audit logging。这将记录包括origin.address在内的审计事件，它应该会向您显示这些事件来自何处。

示例(本地主机上的请求)：

{
  "type": "audit",
  "timestamp": "2020-07-29T20:11:08,529+0200",
  "node.id": "sDCzapQcSgCTgaOnebA07w",
  "event.type": "rest",
  "event.action": "anonymous_access_denied",
  "origin.type": "rest",
  "origin.address": "127.0.0.1:58611",
  "url.path": "/",
  "request.method": "HEAD",
  "request.id": "4s_UWL35TfiI0nGZvNeomA"
}

尽管在Elastic Cloud上，您必须联系支持部门才能为您提供这些日志。