Elasticsearch Xpack.security.audit.outputs：[索引，日志文件]在7.x？

Question

在Elasticsearch，uptil版本6.2中，通过在elasticsearch.yml文件中设置以下行，可以将安全审计发送到Elasticsearch索引

xpack.security.audit.outputs: [ index, logfile ]

https://www.elastic.co/guide/en/x-pack/current/auditing.html#audit-log-settings

在7.x版中，审核日志只能写入clustername_audit.json或控制台。

我的问题是如何将审计日志发送到ES索引版本7.x，就像6.2一样？现在还有这样的选择吗？

谢谢!

Answer 1

Yap，将审计日志直接发送到索引的选项消失了……您应该在每台elasticsearch机器上安装一个Filebeat，并按照处理集群日志的相同方式将审计日志提供给集群。

https://www.elastic.co/de/blog/indexing-elasticsearch-audit-logs-with-filebeat