Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachung von Auditprotokollen in Amazon OpenSearch Service
Wenn Ihre Amazon OpenSearch Service-Domain eine differenzierte Zugriffskontrolle verwendet, können Sie Audit-Logs für Ihre Daten aktivieren. Audit-Logs sind hochgradig anpassbar und ermöglichen es Ihnen, Benutzeraktivitäten in Ihren OpenSearch Clustern nachzuverfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen. Die Standardkonfiguration verfolgt einen beliebten Satz von Benutzeraktionen. Wir empfehlen jedoch, die Einstellungen genau an Ihre Bedürfnisse anzupassen.
Genau wie [OpenSearch Anwendungsprotokolle und langsame Protokolle](createdomain-configure-slow-logs.md) veröffentlicht OpenSearch Service CloudWatch Auditprotokolle in Logs. Wenn diese Option aktiviert ist, gelten die [ CloudWatch Standardpreise](https://aws.amazon.com/cloudwatch/pricing/).
**Anmerkung**
Um Audit-Logs zu aktivieren, muss Ihre Benutzerrolle der `security_manager` Rolle zugeordnet sein, die Ihnen Zugriff auf die OpenSearch `plugins/_security` REST-API gewährt. Weitere Informationen hierzu finden Sie unter [Hauptbenutzer ändern](fgac.md#fgac-forget).
**Topics**
+ [Einschränkungen](#audit-logs-limitations)
+ [Aktivieren von Prüfprotokollen](#audit-log-enabling)
+ [Aktivieren Sie die Auditprotokollierung mit dem AWS CLI](#audit-log-enabling-cli)
+ [Aktivieren der Prüfungsprotokollierung über die Konfigurations-API](#audit-log-enabling-api)
+ [Protokollebenen und -Kategorien prüfen](#audit-log-layers)
+ [Prüfprotokolleinstellungen](#audit-log-settings)
+ [Prüfungsprotokollbeispiel](#audit-log-example)
+ [Konfigurieren von Prüfungsprotokollen mit der REST-API](#audit-log-rest-api)
## Einschränkungen
Prüfungsprotokolle haben folgende Einschränkungen:
+ Prüfungsprotokolle enthalten keine clusterübergreifenden Suchanforderungen, die von der Domain-Zugriffsrichtlinie des Ziels abgelehnt wurden.
+ Die Maximalgröße jeder Prüfungsprotokollmeldung beträgt 10 000 Zeichen. Die Prüfungsprotokollmeldung wird abgeschnitten, wenn sie diesen Grenzwert überschreitet.
## Aktivieren von Prüfprotokollen
Die Aktivierung des Prüfungsprotokolls für einen Cluster ist ein zweistufiger Prozess. Zunächst konfigurieren Sie Ihre Domain so, dass Audit-Logs in Logs veröffentlicht werden CloudWatch . Anschließend aktivieren Sie Audit-Logs in OpenSearch Dashboards und konfigurieren sie so, dass sie Ihren Anforderungen entsprechen.
**Wichtig**
Wenn beim Ausführen dieser Schritte ein Fehler auftritt, finden Sie unter [Prüfungsprotokolle können nicht aktiviert werden](handling-errors.md#troubleshooting-audit-logs-error) Informationen zur Fehlerbehebung.
### Schritt 1: Aktivieren von Überwachungsprotokolle und Konfigurieren einer Zugriffsrichtlinie
In diesen Schritten wird beschrieben, wie Sie mithilfe der Konsole Prüfungsprotokolle aktivieren. Sie können [sie auch mithilfe der oder der AWS CLI[OpenSearch Service-API](#audit-log-enabling-api) aktivieren](#audit-log-enabling-cli).
**Um Audit-Logs für eine OpenSearch Service-Domain (Konsole) zu aktivieren**
1. Wählen Sie die Domain aus, um ihre Konfiguration zu öffnen, und wechseln Sie dann zur Registerkarte **Protokolle**.
1. Wählen Sie **Prüfungsprotokolle** und dann **Aktivieren** aus.
1. Erstellen Sie eine CloudWatch Protokollgruppe oder wählen Sie eine bestehende aus.
1. Wählen Sie eine Zugriffsrichtlinie mit den entsprechenden Berechtigungen aus, oder erstellen Sie eine Richtlinie mit dem in der Konsole verfügbaren JSON:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "es.amazonaws.com"
},
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/opensearch/domains/domain-name/*"
}
]
}
```
------
Wir empfehlen Ihnen, die `aws:SourceAccount`- und `aws:SourceArn`-Bedingungsschlüssel zur Richtlinie hinzuzufügen, um sich vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu schützen. Das Quellkonto ist der Eigentümer der Domain und der Quell-ARN ist der ARN der Domain. Ihre Domain muss zum Hinzufügen dieser Bedingungsschlüssel über Service-Software R20211203 oder höher verfügen.
Beispielsweise können Sie der Richtlinie den folgenden Bedingungsblock hinzufügen:
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:es:region:account-id:domain/domain-name"
}
}
```
1. Wählen Sie **Aktivieren** aus.
### Schritt 2: Aktivieren Sie die Audit-Logs in den OpenSearch Dashboards
Nachdem Sie die Auditprotokolle in der OpenSearch Servicekonsole aktiviert haben, *müssen* Sie sie auch in den OpenSearch Dashboards aktivieren und entsprechend Ihren Anforderungen konfigurieren.
1. Öffnen Sie OpenSearch Dashboards und wählen Sie im Menü auf der linken Seite **Sicherheit** aus.
1. Wählen Sie **Prüfungsprotokolle** aus.
1. Wählen Sie **Überwachungsprotokollierung aktivieren** aus.
Die Dashboards-Benutzeroberfläche bietet vollständige Kontrolle über die Prüfungsprotokolleinstellungen unter **Allgemeine Einstellungen** und **Compliance-Einstellungen**. Eine Beschreibung aller Konfigurationsoptionen finden Sie unter [Prüfungsprotokolleinstellungen](#audit-log-settings).
## Aktivieren Sie die Auditprotokollierung mit dem AWS CLI
Der folgende AWS CLI Befehl aktiviert Audit-Logs für eine bestehende Domain:
```
aws opensearch update-domain-config --domain-name my-domain --log-publishing-options "AUDIT_LOGS={CloudWatchLogsLogGroupArn=arn:aws:logs:us-east-1:123456789012:log-group:my-log-group,Enabled=true}"
```
Sie können Prüfungsprotokolle auch aktivieren, wenn Sie eine Domain erstellen. Weitere Informationen finden Sie in der [AWS CLI -Befehlsreferenz](https://docs.aws.amazon.com/cli/latest/reference/).
## Aktivieren der Prüfungsprotokollierung über die Konfigurations-API
Die folgende Anfrage an die Konfigurations-API aktiviert Prüfungsprotokolle für eine vorhandene Domain:
```
POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/config
{
"LogPublishingOptions": {
"AUDIT_LOGS": {
"CloudWatchLogsLogGroupArn":"arn:aws:logs:us-east-1:123456789012:log-group1:sample-domain",
"Enabled":true
}
}
}
```
Weitere Informationen finden Sie in der [Amazon OpenSearch Service API-Referenz](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_LogPublishingOption.html).
## Protokollebenen und -Kategorien prüfen
Cluster-Kommunikation erfolgt über zwei separate *Ebenen*: die REST- und die Transportebene.
+ Die REST-Schicht deckt die Kommunikation mit HTTP-Clients wie curl, Logstash, OpenSearch Dashboards, dem Java-High-Level-REST-Client und der [Python-Anforderungsbibliothek ab — alle HTTP-Anfragen](https://2.python-requests.org/), die im Cluster ankommen.
+ Die Transportebene deckt die Kommunikation zwischen Knoten ab. Nachdem beispielsweise eine Suchanfrage im Cluster (über die REST-Ebene) eintrifft, sendet der koordinierende Knoten, der die Anfrage bedient, die Anfrage an andere Knoten, empfängt deren Antworten, sammelt die erforderlichen Dokumente und fasst sie in der endgültigen Antwort zusammen. Operationen wie Shard-Zuweisung und Neuverteilung erfolgen ebenfalls über die Transportebene.
Sie können Prüfungsprotokolle für ganze Ebenen sowie einzelne Prüfungskategorien für eine Ebene aktivieren oder deaktivieren. Die folgende Tabelle enthält eine Zusammenfassung der Überwachungskategorien und die Ebene, für die sie verfügbar sind.
| Kategorie | Description | Für REST verfügbar | Transportfähig |
| --- | --- | --- | --- |
| FAILED\$1LOGIN | Eine Anforderung enthielt ungültige Anmeldeinformationen und die Authentifizierung ist fehlgeschlagen. | Ja | Ja |
| MISSING\$1PRIVILEGES | Ein Benutzer hatte nicht die Berechtigung, die Anforderung zu stellen. | Ja | Ja |
| GRANTED\$1PRIVILEGES | Ein Benutzer hatte die Berechtigung, die Anforderung zu stellen. | Ja | Ja |
| OPENSEARCH\$1SECURITY\$1INDEX\$1ATTEMPT | Eine Anforderung hat versucht, den .opendistro\$1security-Index zu ändern. | Nein | Ja |
| AUTHENTICATED | Eine Anforderung enthielt gültige Anmeldeinformationen und die Authentifizierung ist erfolgreich. | Ja | Ja |
| INDEX\$1EVENT | Eine Anforderung führte einen administrativen Vorgang für einen Index aus, z. B. das Erstellen eines Indexes, das Festlegen eines Alias oder das Ausführen einer erzwungenen Zusammenführung. [Die vollständige Liste der `indices:admin/` Aktionen, die diese Kategorie umfasst, ist in der Dokumentation verfügbar. OpenSearch ](https://docs.opensearch.org/latest/security-plugin/access-control/permissions/) | Nein | Ja |
Zusätzlich zu diesen Standardkategorien bietet die fein abgestufte Zugriffskontrolle mehrere zusätzliche Kategorien, die darauf ausgelegt sind, die Anforderungen an die Daten-Compliance zu erfüllen.
| Kategorie | Description |
| --- | --- |
| COMPLIANCE\$1DOC\$1READ | Eine Anforderung führte ein Leseereignis für ein Dokument in einem Index aus. |
| COMPLIANCE\$1DOC\$1WRITE | Eine Anforderung führte ein Schreibereignis für ein Dokument in einem Index aus. |
| COMPLIANCE\$1INTERNAL\$1CONFIG\$1READ | Eine Anforderung führte ein Leseereignis auf dem `.opendistro_security`-Index aus. |
| COMPLIANCE\$1INTERNAL\$1CONFIG\$1WRITE | Eine Anforderung führte ein Schreibereignis auf dem `.opendistro_security`-Index aus. |
Es kann eine beliebige Kombination von Kategorien und Nachrichtenattributen vorliegen. Wenn Sie beispielsweise eine REST-Anforderung senden, um ein Dokument zu indizieren, werden möglicherweise die folgenden Zeilen in den Prüfungsprotokollen angezeigt:
+ Authentifiziert auf REST-Ebene (Authentifizierung)
+ GRANTED\$1PRIVILEGE auf Transportebene (Autorisierung)
+ COMPLIANCE\$1DOC\$1WRITE (Dokument in einen Index geschrieben)
## Prüfprotokolleinstellungen
Prüfungsprotokolle verfügen über zahlreiche Konfigurationsoptionen.
### Allgemeine Einstellungen
Mit den allgemeinen Einstellungen können Sie einzelne Kategorien oder ganze Ebenen aktivieren oder deaktivieren. Wir empfehlen, GRANTED\$1PRIVILEGES und AUTHENTICATED als ausgeschlossene Kategorien. Andernfalls werden diese Kategorien für jede gültige Anforderung an den Cluster protokolliert.
| Name | Backend-Einstellung | Description |
| --- | --- | --- |
| REST-Ebene | enable\$1rest | Aktivieren oder Deaktivieren von Ereignissen, die auf der REST-Ebene auftreten. |
| REST-Kategorien | disabled\$1rest\$1categories | Geben Sie Prüfungskategorien an, die auf der REST-Ebene ignoriert werden sollen. Durch Ändern dieser Kategorien kann die Größe der Prüfungsprotokolle erheblich erhöht werden. |
| Transportebene | enable\$1transport | Aktivieren oder deaktivieren Sie Ereignisse, die auf der Transportebene auftreten. |
| Transportkategorien | disabled\$1transport\$1categories | Geben Sie Prüfungskategorien an, die auf der Transportebene ignoriert werden müssen. Durch Ändern dieser Kategorien kann die Größe der Prüfungsprotokolle erheblich erhöht werden. |
Mit Attributeinstellungen können Sie die Detailmenge in jeder Protokollzeile anpassen.
| Name | Backend-Einstellung | Description |
| --- | --- | --- |
| Massenanfragen | resolve\$1bulk\$1requests | Wenn Sie diese Einstellung aktivieren, wird für jedes Dokument in einer Massenanforderung ein Protokoll generiert, das die Größe der Prüfungsprotokolle erheblich erhöhen kann. |
| Anforderungstext | log\$1request\$1body | Fügen Sie den Anforderungstext der Anforderungen ein. |
| Lösen von Indizes | resolve\$1indices | Alias in Indizes auflösen. |
Verwenden Sie Ignorier-Einstellungen, um eine Gruppe von Benutzern oder API-Pfaden auszuschließen:
| Name | Backend-Einstellung | Description |
| --- | --- | --- |
| Ignorierte Benutzer | ignore\$1users | Geben Sie die Benutzer an, die Sie ausschließen möchten. |
| Ignorierte Anforderungen | ignore\$1requests | Geben Sie Anforderungsmuster an, die Sie ausschließen möchten. |
### Compliance-Einstellungen
Mit den Compliance-Einstellungen können Sie den Zugriff auf Index-, Dokument- oder Feldebene optimieren.
| Name | Backend-Einstellung | Description |
| --- | --- | --- |
| Compliance-Protokollierung | enable\$1compliance | Aktivieren oder deaktivieren Sie die Compliance-Protokollierung. |
Sie können die folgenden Einstellungen für die Lese- und Schreibereignisprotokollierung festlegen.
| Name | Backend-Einstellung | Description |
| --- | --- | --- |
| Interne Konfigurationsprotokollierung | internal\$1config | Aktivieren oder deaktivieren Sie die Protokollierung von Ereignissen im `.opendistro_security`-Index. |
Sie können die folgenden Einstellungen für Lese-Ereignisse festlegen.
| Name | Backend-Einstellung | Description |
| --- | --- | --- |
| Lesen von Metadaten | read\$1metadata\$1only | Nur Metadaten für Leseereignisse einschließen. Fügen Sie keine Dokumentfelder ein. |
| Ignorierte Benutzer | read\$1ignore\$1users | Schließen Sie bestimmte Benutzer nicht für Leseereignisse ein. |
| Beobachtete Felder | read\$1watched\$1fields | Geben Sie die Indizes und Felder an, die auf Leseereignisse überwacht werden sollen. Durch das Hinzufügen überwachter Felder wird ein Protokoll pro Dokumentzugriff generiert, wodurch die Größe der Prüfungsprotokolle erheblich vergrößert wird. Beobachtete Felder unterstützen Indexmuster und Feldmuster: {
"index-name-pattern": [
"field-name-pattern"
],
"logs*": [
"message"
],
"twitter": [
"id",
"user*"
]
} |
Sie können die folgenden Einstellungen für Schreibereignisse festlegen.
| Name | Backend-Einstellung | Description |
| --- | --- | --- |
| Schreiben von Metadaten | write\$1metadata\$1only | Nur Metadaten für Schreibereignisse einschließen. Fügen Sie keine Dokumentfelder ein. |
| Protokoll-Differenzen | write\$1log\$1diffs | Wenn write\$1metadata\$1only false ist, schließen Sie nur die Unterschiede zwischen Schreibereignissen ein. |
| Ignorierte Benutzer | write\$1ignore\$1users | Geben Sie bestimmte Benutzer für Schreibereignisse nicht ein. |
| Angesehene Indizes | write\$1watched\$1indices | Geben Sie die Indizes oder Indexmuster an, die auf Schreibereignisse überwacht werden sollen. Durch das Hinzufügen überwachter Felder wird ein Protokoll pro Dokumentzugriff generiert, wodurch die Größe der Prüfungsprotokolle erheblich vergrößert wird. |
## Prüfungsprotokollbeispiel
Dieser Abschnitt enthält eine Beispielkonfiguration, eine Suchanforderung und das resultierende Prüfungsprotokoll für alle Lese- und Schreibereignisse eines Indexes.
### Schritt 1: Konfigurieren von Prüfungsprotokollen
Nachdem Sie die Veröffentlichung von Audit-Logs in einer CloudWatch Logs-Gruppe aktiviert haben, navigieren Sie zur Seite „Audit-Protokollierung“ der OpenSearch Dashboards und wählen Sie **Audit-Protokollierung aktivieren** aus.
1. Wählen Sie unter **Allgemeine Einstellungen** **Konfigurieren** und stellen Sie sicher, dass die **REST-Ebene** aktiviert ist.
1. Wählen Sie in den **Compliance-Einstellungen** die Option **Konfigurieren** aus.
1. Fügen Sie unter **Schreiben** in **Beobachtete Felder** `accounts` für alle Schreibereignisse zu diesem Index hinzu.
1. Fügen Sie unter **Lesen** in **Beobachtete Felder** `ssn`- und `id-`-Felder des `accounts`-Index hinzu:
```
{
"accounts-": [
"ssn",
"id-"
]
}
```
### Schritt 2: Ausführen von Lese- und Schreibereignissen
1. Navigieren Sie zu OpenSearch Dashboards, wählen Sie **Dev Tools** und indexieren Sie ein Beispieldokument:
```
PUT accounts/_doc/0
{
"ssn": "123",
"id-": "456"
}
```
1. Um ein Leseereignis zu testen, senden Sie die folgende Anforderung:
```
GET accounts/_search
{
"query": {
"match_all": {}
}
}
```
### Schritt 3: Beobachten der Protokolle
1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Wählen Sie im Navigationsbereich **Protokollgruppen** aus.
1. Wählen Sie die Protokollgruppe aus, die Sie beim Aktivieren von Prüfungsprotokollen festgelegt haben. Innerhalb der Protokollgruppe erstellt OpenSearch Service einen Protokollstream für jeden Knoten in Ihrer Domain.
1. Wählen Sie unter **Protokollströme** die Option **Alle durchsuchen** aus.
1. Die Lese- und Schreibereignisse finden Sie in den entsprechenden Protokollen. Sie können eine Verzögerung von 5 Sekunden erwarten, bevor das Protokoll angezeigt wird.
**Beispiel für Schreibprüfungsprotokoll**
```
{
"audit_compliance_operation": "CREATE",
"audit_cluster_name": "824471164578:audit-test",
"audit_node_name": "be217225a0b77c2bd76147d3ed3ff83c",
"audit_category": "COMPLIANCE_DOC_WRITE",
"audit_request_origin": "REST",
"audit_compliance_doc_version": 1,
"audit_node_id": "3xNJhm4XS_yTzEgDWcGRjA",
"@timestamp": "2020-08-23T05:28:02.285+00:00",
"audit_format_version": 4,
"audit_request_remote_address": "3.236.145.227",
"audit_trace_doc_id": "lxnJGXQBqZSlDB91r_uZ",
"audit_request_effective_user": "admin",
"audit_trace_shard_id": 8,
"audit_trace_indices": [
"accounts"
],
"audit_trace_resolved_indices": [
"accounts"
]
}
```
**Beispiel für Leseprüfungsprotokoll**
```
{
"audit_cluster_name": "824471164578:audit-docs",
"audit_node_name": "806f6050cb45437e2401b07534a1452f",
"audit_category": "COMPLIANCE_DOC_READ",
"audit_request_origin": "REST",
"audit_node_id": "saSevm9ASte0-pjAtYi2UA",
"@timestamp": "2020-08-31T17:57:05.015+00:00",
"audit_format_version": 4,
"audit_request_remote_address": "54.240.197.228",
"audit_trace_doc_id": "config:7.7.0",
"audit_request_effective_user": "admin",
"audit_trace_shard_id": 0,
"audit_trace_indices": [
"accounts"
],
"audit_trace_resolved_indices": [
"accounts"
]
}
```
Um den Text der Anfrage einzubeziehen, kehren Sie zu den **Compliance-Einstellungen in den** OpenSearch Dashboards zurück und deaktivieren Sie die Option **Metadaten schreiben**. Um Ereignisse eines bestimmten Benutzers auszuschließen, fügen Sie den Benutzer zu **Ignorierte Benutzer** hinzu.
Eine Beschreibung der einzelnen Prüfungsprotokoll-Felder finden Sie unter [Referenz des Prüfungsprotokolls](https://docs.opensearch.org/latest/security-plugin/audit-logs/field-reference/). Informationen zur Suche und Analyse Ihrer Audit-Protokolldaten finden Sie unter [Analysieren von Protokolldaten mit CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
## Konfigurieren von Prüfungsprotokollen mit der REST-API
Wir empfehlen die Verwendung von OpenSearch Dashboards zur Konfiguration von Audit-Logs, Sie können aber auch die detaillierte REST-API für die Zugriffskontrolle verwenden. Dieser Abschnitt enthält eine Beispielanforderung. [Die vollständige Dokumentation zur REST-API ist in der Dokumentation verfügbar. OpenSearch ](https://opensearch.org/docs/latest/security/access-control/api/#audit-logs)
```
PUT _opendistro/_security/api/audit/config
{
"enabled": true,
"audit": {
"enable_rest": true,
"disabled_rest_categories": [
"GRANTED_PRIVILEGES",
"AUTHENTICATED"
],
"enable_transport": true,
"disabled_transport_categories": [
"GRANTED_PRIVILEGES",
"AUTHENTICATED"
],
"resolve_bulk_requests": true,
"log_request_body": true,
"resolve_indices": true,
"exclude_sensitive_headers": true,
"ignore_users": [
"kibanaserver"
],
"ignore_requests": [
"SearchRequest",
"indices:data/read/*",
"/_cluster/health"
]
},
"compliance": {
"enabled": true,
"internal_config": true,
"external_config": false,
"read_metadata_only": true,
"read_watched_fields": {
"read-index-1": [
"field-1",
"field-2"
],
"read-index-2": [
"field-3"
]
},
"read_ignore_users": [
"read-ignore-1"
],
"write_metadata_only": true,
"write_log_diffs": false,
"write_watched_indices": [
"write-index-1",
"write-index-2",
"log-*",
"*"
],
"write_ignore_users": [
"write-ignore-1"
]
}
}
```