审计日志字段参考
本页面包含所有审计日志字段的描述。
通用属性
以下属性针对所有事件类别记录,与层无关。
| 名称 | 描述 |
|---|---|
audit_format_version |
审计日志消息格式版本。 |
audit_category |
审计日志类别。FAILED_LOGIN、MISSING_PRIVILEGES、BAD_HEADERS、SSL_EXCEPTION、OPENSEARCH_SECURITY_INDEX_ATTEMPT、AUTHENTICATED 或 GRANTED_PRIVILEGES。 |
audit_node_id |
生成事件的节点 ID。 |
audit_node_name |
生成事件的节点名称。 |
audit_node_host_address |
生成事件的节点主机地址。 |
audit_node_host_name |
生成事件的节点主机名。 |
audit_request_layer |
生成事件的层,可以是 TRANSPORT 或 REST。 |
audit_request_origin |
事件起源的层,可以是 TRANSPORT 或 REST。 |
audit_request_effective_user_is_admin |
如果请求使用 TLS 管理员证书发出,则为 true,否则为 false。 |
REST FAILED_LOGIN 属性
| 名称 | 描述 |
|---|---|
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_rest_request_path |
REST 端点 URI。 |
audit_rest_request_params |
HTTP 请求参数(如果有)。 |
audit_rest_request_headers |
HTTP 头信息(如果有)。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_rest_request_method |
HTTP 请求方法。 |
REST AUTHENTICATED 属性
| 名称 | 描述 |
|---|---|
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_rest_request_path |
REST 端点 URI。 |
audit_rest_request_params |
HTTP 请求参数(如果有)。 |
audit_rest_request_headers |
HTTP 头信息(如果有)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_rest_request_method |
HTTP 请求方法。 |
REST SSL_EXCEPTION 属性
| 名称 | 描述 |
|---|---|
audit_request_exception_stacktrace |
SSL 异常的堆栈跟踪。 |
REST BAD_HEADERS 属性
| 名称 | 描述 |
|---|---|
audit_rest_request_path |
REST 端点 URI。 |
audit_rest_request_params |
HTTP 请求参数(如果有)。 |
audit_rest_request_headers |
HTTP 头信息(如果有)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
传输层 FAILED_LOGIN 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id |
请求的 ID。 |
audit_transport_headers |
请求的头信息(如果有)。 |
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_transport_request_type |
请求类型(例如 IndexRequest)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices |
请求中包含的索引名称。可以包含通配符、日期模式和别名。仅在 resolve_indices 为 true 时记录。 |
audit_trace_resolved_indices |
请求影响的实际解析后的索引名称。仅在 resolve_indices 为 true 时记录。 |
audit_trace_doc_types |
请求影响的文档类型。仅在 resolve_indices 为 true 时记录。 |
传输层 AUTHENTICATED 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id |
请求的 ID。 |
audit_transport_headers |
请求的头信息(如果有)。 |
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_transport_request_type |
请求类型(例如 IndexRequest)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices |
请求中包含的索引名称。可以包含通配符、日期模式和别名。仅在 resolve_indices 为 true 时记录。 |
audit_trace_resolved_indices |
请求影响的实际解析后的索引名称。仅在 resolve_indices 为 true 时记录。 |
audit_trace_doc_types |
请求影响的文档类型。仅在 resolve_indices 为 true 时记录。 |
传输层 MISSING_PRIVILEGES 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id |
请求的 ID。 |
audit_trace_task_parent_id |
此请求的父 ID(如果有)。 |
audit_transport_headers |
请求的头信息(如果有)。 |
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_transport_request_type |
请求类型(例如 IndexRequest)。 |
audit_request_privilege |
请求所需的权限(例如 indices:data/read/search)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices |
请求中包含的索引名称。可以包含通配符、日期模式和别名。仅在 resolve_indices 为 true 时记录。 |
audit_trace_resolved_indices |
请求影响的实际解析后的索引名称。仅在 resolve_indices 为 true 时记录。 |
audit_trace_doc_types |
请求影响的文档类型。仅在 resolve_indices 为 true 时记录。 |
传输层 GRANTED_PRIVILEGES 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id |
请求的 ID。 |
audit_trace_task_parent_id |
此请求的父 ID(如果有)。 |
audit_transport_headers |
请求的头信息(如果有)。 |
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_transport_request_type |
请求类型(例如 IndexRequest)。 |
audit_request_privilege |
请求所需的权限(例如 indices:data/read/search)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices |
请求中包含的索引名称。可以包含通配符、日期模式和别名。仅在 resolve_indices 为 true 时记录。 |
audit_trace_resolved_indices |
请求影响的实际解析后的索引名称。仅在 resolve_indices 为 true 时记录。 |
audit_trace_doc_types |
请求影响的文档类型。仅在 resolve_indices 为 true 时记录。 |
传输层 SSL_EXCEPTION 属性
| 名称 | 描述 |
|---|---|
audit_request_exception_stacktrace |
SSL 异常的堆栈跟踪。 |
传输层 BAD_HEADERS 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id |
请求的 ID。 |
audit_trace_task_parent_id |
此请求的父 ID(如果有)。 |
audit_transport_headers |
请求的头信息(如果有)。 |
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_transport_request_type |
请求类型(例如 IndexRequest)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices |
请求中包含的索引名称。可以包含通配符、日期模式和别名。仅在 resolve_indices 为 true 时记录。 |
audit_trace_resolved_indices |
请求影响的实际解析后的索引名称。仅在 resolve_indices 为 true 时记录。 |
audit_trace_doc_types |
请求影响的文档类型。仅在 resolve_indices 为 true 时记录。 |
传输层 opensearch_SECURITY_INDEX_ATTEMPT 属性
| 名称 | 描述 |
|---|---|
audit_trace_task_id |
请求的 ID。 |
audit_transport_headers |
请求的头信息(如果有)。 |
audit_request_effective_user |
未能通过身份验证的用户名。 |
audit_request_initiating_user |
发起请求的用户。仅在与有效用户不同时记录。 |
audit_transport_request_type |
请求类型(例如 IndexRequest)。 |
audit_request_body |
HTTP 请求体(如果有,且启用了请求体日志记录)。 |
audit_trace_indices |
请求中包含的索引名称。可以包含通配符、日期模式和别名。仅在 resolve_indices 为 true 时记录。 |
audit_trace_resolved_indices |
请求影响的实际解析后的索引名称。仅在 resolve_indices 为 true 时记录。 |
audit_trace_doc_types |
请求影响的文档类型。仅在 resolve_indices 为 true 时记录。 |