审核安全设置

所有这些设置都可以添加到elasticsearch.yml配置文件中。有关更多信息，请参阅审核安全事件。

一般审计设置

xpack.security.audit.enabled 设置为true则在节点上启用审核。默认值为false。这会将审计事件放在每个节点上名为 _audit.json的专用文件中。有关更多信息，请参阅配置日志记录级别

审核事件设置

可以使用以下设置控制事件和有关记录内容的其他一些信息： xpack.security.audit.logfile.events.include 指定要包含在审计输出中的事件。默认值为：access_denied，access_granted，anonymous_access_denied，authentication_failed，connection_denied，tampered_request，run_as_denied，run_as_granted。

xpack.security.audit.logfile.events.exclude 从输出中排除指定的事件。默认情况下，不排除任何事件。

xpack.security.audit.logfile.events.emit_request_body 指定是否在某些事件类型（如authentication_failed）中包含来自REST请求的请求正文。默认值为false。

本地节点信息设置

xpack.security.audit.logfile.emit_node_name 指定是否将节点名称包含在每个审核事件中作为字段。默认值是true。

xpack.security.audit.logfile.emit_node_host_address 指定是否将节点的IP地址作为每个审核事件中的字段包含在内。默认值为false。

xpack.security.audit.logfile.emit_node_host_name 指定是否将节点的主机名作为字段包含在每个审核事件中。默认值为false。

xpack.security.audit.logfile.emit_node_id 指定是否将节点标识包含在每个审核事件中作为字段。这仅适用于新格式。也就是说， _access.log文件中不存在此信息。与节点名称不同，如果管理员更改配置文件中的设置，其值可能会更改，则节点ID将在群集重新启动时保持不变，管理员无法更改它。默认值是true。

审核日志文件事件忽略策略

这些设置会影响忽略策略，这些策略可以对打印到日志文件的审核事件进行细粒度控制。具有相同策略名称的所有设置组合在一起形成单个策略。如果事件与特定策略的所有条件匹配，则会忽略该事件并且不会打印。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.users 用户名或通配符列表。指定的策略不会为匹配这些值的用户打印审核事件。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.realms 身份验证领域名称或通配符的列表。指定的策略不会为这些领域中的用户打印审核事件。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.roles 角色名称或通配符列表。指定的策略不会为具有这些角色的用户打印审核事件。如果用户具有多个角色，其中一些角色不在策略范围内，则该策略不会涵盖此事件。

xpack.security.audit.logfile.events.ignore_filters.<policy_name>.indices 索引名称或通配符列表。当事件中的所有索引都匹配这些值时，指定的策略不会打印审核事件。如果该事件涉及多个指数，其中一些指标不在政策范围内，则该政策不会涵盖此事件。