Elasticsearch Xpack.security.audit.outputs: [index, logfile] в 7.x?

Question

В Elasticsearch, до версии 6.2 аудит безопасности можно было отправить в индекс Elasticsearch, установив эту строку в файлеasticsearch.yml

xpack.security.audit.outputs: [ index, logfile ]

https://www.elastic.co/guide/en/x-pack/current/auditing.html#audit-log-settings

В версии 7.x журналы аудита могут быть записаны только в clustername_audit. json или console.

Мой вопрос: как журналы аудита можно отправлять в индекс ES версии 7.x, как и в 6.2? Есть ли такой вариант больше?

Спасибо!

Answer 1

Да, возможность отправлять журналы аудита непосредственно в индекс пропала ... Вы должны установить Filebeat на каждом из компьютеров эластичного поиска и подать журнал аудита в кластер так же, как и в кластере. журнал.

https://www.elastic.co/de/blog/indexing-elasticsearch-audit-logs-with-filebeat