【Elasticsearch】审计日志（二）：Compliance settings（合规性审计设置）

《Elasticsearch 审计日志》系列，共包含以下文章：

• 审计日志（一）：General settings
• 审计日志（二）：Compliance settings（合规性审计设置）
• 审计日志（三）：案例实战分析

😊 如果您觉得这篇文章有用 ✔️ 的话，请给博主一个一键三连 🚀🚀🚀 吧 （点赞 🧡、关注 💛、收藏 💚）！！！您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容！！！

1.合规模式基础设置（Compliance mode）

• compliance:enabled
  • 作用：全局启用或禁用合规性日志记录功能
  • 当前值：Enabled（启用）
  • 说明：主开关，启用后才能使用其他合规性审计功能
• compliance:internal_config
  • 作用：是否记录内部安全索引的配置变更事件
  • 当前值：Enabled（启用）
  • 说明：监控.security索引等内部配置的变化，对安全审计很重要
• compliance:external_config
  • 作用：是否记录外部配置变更（如elasticsearch.yml）
  • 当前值：Enabled（启用）
  • 说明：启用后会监控配置文件变更，满足严格合规要求

2.读操作审计设置（Read）

• compliance:read_metadata_only
  • 作用：控制读操作审计的详细程度
  • 当前值：Disabled
  • 说明：
    • 启用时只记录文档元信息（如_id、_index），不记录文档内容；
    • 禁用时会记录完整文档内容。
• compliance:read_ignore_users
  • 作用：指定读操作审计中要忽略的用户
  • 当前忽略的用户：无
  • 说明：减少指定用户产生的审计噪音。例如kibanaserver系统用户。
• compliance:read_watched_fields
  • 作用：定义需要特别监控的敏感字段
  • 默认值：空（未监控特定字段）
  • 当前值：所有字段
  • 格式示例：

{"index-name-pattern":["field-name-pattern"],"logs":["message"],"twitter":["id","user*"]}

• 特别说明：
  • 配置后会为每个被访问的监控字段生成独立日志
  • 会显著增加系统开销（警告中提到 “可能造成显著开销”）

3.写操作审计设置（Write）

• compliance:write_metadata_only
  • 作用：控制写操作审计的详细程度
  • 当前值：Disabled（启用）
  • 说明：类似读设置，启用后只记录文档元信息不记录内容
• compliance:write_log_diffs
  • 作用：是否记录文档更新前后的差异（diff）
  • 当前值：Disabled（禁用）
  • 说明：
    • 启用后可追踪文档具体变更内容
    • 会产生额外性能开销
• compliance:write_ignore_users
  • 作用：指定写操作审计中要忽略的用户
  • 当前忽略的用户：无
  • 默认值：kibanaserver（系统用户）
• compliance:write_watched_indices
  • 作用：定义需要特别监控的敏感索引
  • 默认值：“Watch indices”（示例占位符，实际应配置具体索引模式）
  • 当前值：*
  • 特别说明：
    • 配置后会为被监控索引的每个文档变更生成独立日志
    • 会显著增加系统开销

4.合规性审计的重要特征

• 1️⃣与普通审计的区别：
  • 专门为满足 GDPR、HIPAA 等合规要求设计。
  • 提供更细粒度的数据访问监控（特别是读操作）。
  • 能追踪 “谁在什么时候访问了什么数据”。
• 2️⃣性能考量：
  • 几乎所有设置旁都有性能警告。
  • watched_fields/watched_indices会为每个文档操作生成独立日志。
  • 生产环境应谨慎选择监控范围。
• 3️⃣安全最佳实践：
  • 对包含 PII / PHI 等敏感数据的索引应启用watched_fields
  • 金融/医疗等受监管行业建议启用write_log_diffs
  • 可结合ignore_users排除监控系统账户减少日志量

这些设置特别适合需要证明数据访问合规性的场景，但需要平衡审计详细程度与系统性能之间的关系。