Oracle Cloud Infrastructure-Dokumentation

Auditlogs in Suche mit OpenSearch

Auditlogs erfassen eine umfassende Aufzeichnung von Zugriff, Vorgängen und Änderungen an einem Cluster und den Daten des Clusters.

Mit diesem Feature können Sie Aktivitäten überwachen, Probleme beheben und die Einhaltung von Sicherheits-Policys für ein Cluster sicherstellen. Weitere Informationen finden Sie unter OpenSearch-Auditlogs.

Voraussetzungen

  • Die OpenSearch-Version für das Cluster muss 2.11 sein.

Auditlogs für ein Cluster aktivieren

Bevor Sie Auditlogs verwenden können, müssen Sie die Funktionalität im OpenSearch-Dashboard des Clusters aktivieren.

  1. Melden Sie sich bei den Dashboards OpenSearch des Clusters an, und wählen Sie Sicherheit aus.

  2. Klicken Sie im Navigationsmenü auf der linken Seite auf Auditlogs.

  3. Schalten Sie Auditlogging aktivieren von Deaktiviert auf Aktiviert um.

Allgemeine Einstellungen

Die allgemeinen Einstellungen sind die allgemeinen Konfigurationseinstellungen für die Auditlogs, einschließlich der Frage, ob das Feature für eine Einstellung aktiviert oder deaktiviert ist, sowie die Granularität der protokollierten Daten.

Ebenen-Einstellungen

Auditlogs können für den REST-Layer und den Transportlayer aktiviert oder deaktiviert werden.

  • REST-Layer: Wenn diese Option aktiviert ist, werden alle REST-Anforderungen an das Cluster protokolliert.

    Folgende Kategorien sind für REST deaktiviert:

    • AUTHENTICATED: Anforderungen, die authentifiziert, aber nicht unbedingt autorisiert sind, werden nicht protokolliert.
    • GRANTED_PRIVILEGES: Anforderungen, die authentifiziert, aber nicht unbedingt autorisiert sind, werden nicht protokolliert.

  • Transportschicht: Wenn diese Option aktiviert ist, werden Knoten-zu-Knoten-Anforderungen in einem Cluster protokolliert.

    Die Kategorien für Behinderte sind:

    • AUTHENTICATED: Knoten-zu-Knoten-Anforderungen, die authentifiziert, aber nicht unbedingt autorisiert sind, werden nicht protokolliert.
    • GRANTED_PRIVILEGES: Knoten-zu-Knoten-Anforderungen, denen bestimmte Berechtigungen erteilt wurden, werden nicht protokolliert.

Attributeinstellungen

Attributeinstellungen geben an, welche Teile einer Anforderung protokolliert werden sollen.

  • Massenanforderungen: Wenn aktiviert, werden Massenanforderungen protokolliert.

  • Anforderungstext: Wenn diese Option aktiviert ist, wird der Hauptteil der Anforderungen protokolliert.

  • Indizes auflösen: Wenn diese Option aktiviert ist, werden die tatsächlichen Namen der Indizes aufgelöst und protokolliert, auf die in der Anforderung zugegriffen wird.

  • Sensible Header: Wenn diese Option aktiviert ist, werden Header protokolliert, die vertrauliche Informationen enthalten können, wie Authentifizierungstoken.

Einstellungen ignorieren

Gibt an, ob Benutzer oder Anforderungen von der Protokollierung ausgeschlossen werden sollen.

  • Ignorierte Benutzer: Gibt eine Liste von Benutzern an, deren Aktionen nicht protokolliert werden.

  • Ignorierte Anforderungen: Gibt eine Liste mit Anforderungsmustern an, die nicht protokolliert werden.

Complianceeinstellungen

Dies sind die allgemeinen Konfigurationseinstellungen für das Complianceloggingfeature. Sie geben an, ob das Compliance-Logging aktiviert ist und ob die protokollierten Daten granular sind.

Compliance-Modus

Gibt an, ob das Cluster in einem Modus ausgeführt wird, in dem OpenSearch bestimmte Compliance-bezogene Verhaltensweisen durchsetzt. Wenn Compliance Logging aktiviert ist, kann es basierend auf den anderen konfigurierten Complianceeinstellungen strengere Sicherheitsprüfungen, Logging usw. durchsetzen.

Konfiguration

Gibt an, ob Konfigurationsupdates der OpenSearch protokolliert werden. Umfasst Folgendes:

  • Logging für interne Konfiguration: Wenn diese Option aktiviert ist, werden Änderungen an der internen OpenSearch-Konfiguration protokolliert. Dies kann nützlich sein, um Änderungen an Sicherheitskonfigurationen, Rollen, Berechtigungen usw. zu verfolgen.

  • Logging für externe Konfiguration: Wenn diese Option aktiviert ist, werden Änderungen an externen Konfigurationen, wie z.B. Konfigurationen, die außerhalb von OpenSearch in einer Datei oder einem externen Service gespeichert sind, protokolliert.

Gelesen

Gibt die Loggingkonfiguration für Lesevorgänge an.

  • Metadaten lesen: Wenn diese Option aktiviert ist, werden nur Metadaten von Lesevorgängen protokolliert. Die tatsächlichen Daten, die gelesen werden, werden nicht protokolliert. Dies ist nützlich, um Zugriffsmuster zu überwachen, ohne vertrauliche Daten zu protokollieren.

  • Ignorierte Benutzer: Gibt eine Liste der Benutzer an, deren Lesevorgänge nicht protokolliert werden.

  • Überwachte Felder: Gibt die Felder in Indizes an, die auf Lesevorgänge überwacht werden sollen.

Schreiben

Gibt die Loggingkonfiguration für Schreibvorgänge an.

  • Metadaten schreiben: Wenn diese Option aktiviert ist, werden nur Metadaten von Schreibvorgängen protokolliert. Die tatsächlich geschriebenen Daten werden nicht protokolliert. Dies ist nützlich, um Datenänderungsmuster zu verfolgen, ohne den Inhalt der Daten zu protokollieren.

  • Logvarianten: Wenn diese Option aktiviert ist, werden die Unterschiede zwischen den alten und neuen Daten in Schreibvorgängen protokolliert. Wenn diese Option deaktiviert ist, werden die Unterschiede nicht protokolliert. Nur ein Schreibvorgang wird protokolliert.

  • Ignorierte Benutzer: Gibt eine Liste der Benutzer an, deren Lesevorgänge nicht protokolliert werden.

  • Überwachte Indizes: Gibt die Indizes an, die für Schreibvorgänge überwacht werden sollen.

Auditlogs verwenden

Nachdem Sie Auditlogs für ein Cluster aktiviert haben, füllt OpenSearch die Auditlogindizes mit Daten auf. Um auf diese Daten zuzugreifen, müssen Sie ein Indexmuster erstellen, das auf die Logdaten verweist. Ein Indexmuster referenziert einen oder mehrere Indizes, Datenstreams oder Indexaliasnamen.

Indexmuster erstellen

  1. Melden Sie sich bei den OpenSearch-Dashboards des Clusters an, und wählen Sie Management aus.

  2. Klicken Sie im Navigationsmenü auf der linken Seite auf Stack Management, und wählen Sie Indexmuster aus.

  3. Klicken Sie auf Indexmuster erstellen.

  4. Geben Sie den Indexmusternamen an, der abgeglichen werden soll. Standardmäßig beginnen Auditlogindexnamen mit security, sodass Sie security* angeben können, um alle Auditlogs einzuschließen. Wenn Sie die Standardkonfiguration nicht verwenden, geben Sie das Indexmuster an, das mit der benutzerdefinierten Konfiguration übereinstimmt.
  5. Klicken Sie auf Nächster Schritt
  6. Wählen Sie @timestamp für Schritt 2: Einstellungen konfigurieren aus, und klicken Sie auf Indexmuster erstellen.

Auditlogs durchsuchen

  1. Melden Sie sich bei den OpenSearch-Dashboards des Clusters an, und wählen Sie Discover aus.

  2. Wählen Sie im Dropdown-Menü oben links das Indexmuster security* oder ein anderes Indexmuster aus, das Sie erstellt haben, um Auditlogdaten zu referenzieren.

An dieser Stelle können Sie die Datenfelder hinzufügen, löschen oder ändern, um die Logdaten zu durchsuchen.

Wichtige Features

  • Filter und Suche:

    • Datumsbereich: Mit der Datumsauswahl können Sie Ereignisse eingrenzen, indem Sie ein Start- und Enddatum angeben.
    • Freitextsuche - Verwenden Sie die Suchleiste, um nach bestimmten Begriffen oder Aktionen zu suchen.
    • Feldbasierte Filter: Wenden Sie Filter basierend auf bestimmten Feldern an, wie audit_category, audit_request_origin usw.

  • Logdetails anzeigen

    Auditlogeinträge weisen im Allgemeinen Folgendes auf:
    • Zeitstempel - Zeitpunkt, zu dem das Ereignis aufgetreten ist.
    • Auditkategorie - der Ereignistyp, wie AUTHENTICATED, FAILED_LOGIN usw.
    • Benutzer - Details zum Benutzer, der das Ereignis ausgelöst hat.
    • Anforderungsursprung - woher die Anforderung stammt, z.B. REST, TRANSPORT usw.
    • Remote-IP: - die IP-Adresse, von der aus das Ereignis ausgelöst wurde.

Auditlogs exportieren

So exportieren Sie Auditlogs für externe Analysen oder Backups:

  1. Mit den Such- und Filtertools können Sie die Logs filtern, die Sie exportieren möchten. Siehe Daten durchsuchen und Daten filtern.

  2. Klicken Sie oben rechts auf Teilen, und wählen Sie das Exportformat aus, das Sie verwenden möchten.

Best Practices

  • Aufbewahrungs-Policy: Richten Sie Indexlebenszyklus-Policys ein, um die Aufbewahrung und Löschung alter Auditlogs zu verwalten.
  • Monitoring: Prüfen Sie regelmäßig Auditlogs auf ungewöhnliche Muster oder verdächtige Aktivitäten.
  • Zugriffskontrolle: Schränken Sie den Zugriff auf Auditprotokolle nur auf autorisierte Mitarbeiter ein.