如何开启Elasticsearch集群的安全审计日志？

Elasticsearch集群的安全审计日志功能默认是关闭的。目前CSS在7.6.2及以上版本的Elasticsearch集群支持开启安全审计日志功能。

集群须为安全集群。

1. 登录云搜索服务控制台。
2. 选择“集群管理 >Elasticsearch”进入集群列表。
3. 选择需要开启的集群，单击集群名称，进入集群基本信息页面。
4. 选择“参数配置”，单击“编辑”，展开“自定义”，单击“添加”。

   在自定义参数中添加“参数名称”为opendistro_security.audit.type，“参数值”为internal_elasticsearch。

   图1 自定义参数
   
5. 修改完成后，单击上方的“提交”弹出“提交配置”窗口，确认参数无误后勾选“参数修改后需要手动重启才能生效”，单击“确定”。

   当下方的参数修改列表显示“作业状态”为“成功”时，表示修改保存成功。

6. 返回集群列表，单击集群操作列的“更多 > 重启”重启集群，使修改的配置生效。
7. 重启成功后，单击集群操作列的“Kibana”，进入Kibana页面，输入用户名及密码后，进入“Dev Tools”页面。
8. 在“Console”中输入GET _cat/indices?v 命令，启动命令后查看结果，有 .*audit*相关的索引表示开启成功。