Wie aktiviere ich Prüfprotokolle in OpenSearch Service?

Kurzbeschreibung

Um zuerst Prüfprotokolle zu aktivieren, konfiguriere deine Domain so, dass Prüfprotokolle in Amazon CloudWatch Logs veröffentlicht werden. Aktiviere und konfiguriere dann Prüfprotokolle in OpenSearch Dashboards.

Weitere Informationen findest du unter Überwachen von Prüfprotokollen in Amazon OpenSearch Service.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Bevor du die Prüfprotokolle aktivierst, musst du die differenzierte Zugriffskontrolle auf dem Cluster aktivieren.

Prüfprotokolle in OpenSearch Service aktivieren

Gehe wie folgt vor, um Prüfprotokolle zu aktivieren und eine Zugriffsrichtlinie in OpenSearch Service zu erstellen:

1. Öffne die OpenSearch-Service-Konsole.

2. Wähle im Navigationsbereich Domains und dann deine Domain aus.

3. Wähle die Registerkarte Protokolle, dann Prüfprotokolle und anschließend Aktivieren aus.

4. Wähle Fehlerprotokolle einrichten und dann Neue Richtlinie erstellen oder Vorhandene Richtlinie auswählen aus.
   Um eine neue Richtlinie zu erstellen, gib unter Der Name der neuen Richtlinie einen Richtliniennamen ein und aktualisiere die Richtlinie dann mit einer Zugriffsrichtlinie, die dem folgenden Beispiel ähnelt:

   {  "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "es.amazonaws.com"
         },
         "Action": [
           "logs:PutLogEvents",
           "logs:CreateLogStream"
         ],
         "Resource": "cw_log_group_arn"
       }
     ]
   }

5. Wähle Aktivieren aus.

Prüfprotokolle in OpenSearch Dashboards aktivieren

Führe die folgenden Schritte aus:

1. Öffne OpenSearch Dashboards.
2. Wähle Sicherheit aus.
   Hinweis: Um Prüfprotokolle zu aktivieren, musst du deine Benutzerrolle der Rolle security_manager zuordnen. Andernfalls kannst du die Registerkarte Sicherheit in OpenSearch Dashboards nicht sehen.
3. Wähle Prüfprotokolle.
4. Wähle Enable audit logging (Prüfprotokollierung aktivieren).

Eine Beispielkonfiguration findest du unter Beispiel für ein Prüfprotokoll.

Problembehandlung bei Prüfprotokollen

Du hast keine erweiterten Sicherheitsoptionen konfiguriert

Wenn du Prüfprotokolle aktivierst und die differenzierte Zugriffskontrolle auf deiner Domain nicht aktiviert ist, erhältst du die folgende Fehlermeldung:

„UpdateDomainConfig: {"message":"audit log publishing cannot be enabled as you do not have advanced security options configured."}“

Um diesen Fehler zu beheben, aktiviere die differenzierte Zugriffskontrolle.

Ressourcenlimit überschritten

Wenn du die maximale Anzahl von CloudWatch-Logs-Ressourcenrichtlinien pro AWS-Region erreichst, erhältst du die folgende Fehlermeldung:

„PutResourcePolicy: {"__type":"LimitExceededException","message":"Resource limit exceeded."}“

Du kannst bis zu 10 CloudWatch-Logs-Ressourcenrichtlinien pro Region und Konto haben. Du kannst dieses Kontingent nicht ändern. Weitere Informationen findest du unter Häufig gestellte Fragen zu CloudWatch-Logs-Kontingenten.

Um Protokolle für mehrere Domains zu aktivieren, kannst du eine Richtlinie wiederverwenden, die mehrere Protokollgruppen umfasst.

Um die Ressourcenrichtlinien im Konto pro Region zu überprüfen, führe den AWS-CLI-Befehl describe-resource-policies aus:

aws logs describe-resource-policies --region region-name

Hinweis: Ersetze region-name durch deine Region.

Um die Ressourcenrichtlinie so zu aktualisieren, dass sie mehrere Protokollgruppen abdeckt, füge ein Platzhalterzeichen,*, hinzu. Du kannst auch mehrere Anweisungen aus verschiedenen Ressourcenrichtlinien für alle Protokollgruppen konfigurieren und die alten Richtlinien löschen.

Wenn die Protokollgruppennamen beispielsweise mit /aws/OpenSearchService/domains/ beginnen, kannst du eine Ressourcenrichtlinie erstellen, die für /aws/OpenSearchService/domains/* gilt.

Die folgende Beispielressourcenrichtlinie erstellt eine einzige Ressourcenrichtlinie für alle Protokollgruppen, die mit /aws/OpenSearchService/domains/* beginnen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",

      "Principal": {

        "Service": "es.amazonaws.com"
      },
      "Action": [

        "logs:PutLogEvents",

        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:AccountID:log-group:/aws/OpenSearchService/domains/*:*"
    }
  ]
}

Hinweis: Ersetze Region durch deine Region. Ersetze AccountID durch deine Konto-ID.

Um die konsolidierte Richtlinie anzuwenden, führe den folgenden Befehl in Cloudshell aus:

aws logs put-resource-policy \
    --policy-name yourPolicyName \
    --policy-document file://policy.json

Hinweis: Ersetze yourPolicyName durch deinen eigenen Richtliniennamen.

Du kannst diese aktualisierte Richtlinie jetzt auswählen, wenn du Prüfprotokolle aktivierst.

Um unnötige oder doppelte Richtlinien zu entfernen, führe den Befehl delete-resource-policy aus:

aws logs delete-resource-policy --policy-name PolicyName

Hinweis: Ersetze PolicyName durch den Namen der Richtlinie, die du löschen möchtest.

Die Zugriffsrichtlinie für die Protokollgruppe in CloudWatch Logs gewährt nicht genügend Berechtigungen

Wenn du versuchst, die Veröffentlichung von Prüfprotokollen zu aktivieren, wird möglicherweise die folgende Fehlermeldung angezeigt:

„The Resource Access Policy specified for the CloudWatch Logs log group does not grant sufficient permissions for Amazon OpenSearch Service to create a log stream. Please check the Resource Access Policy.“

Um diesen Fehler zu beheben, stelle sicher, dass das Ressourcenelement der Richtlinie den richtigen Protokollgruppen-ARN enthält.

Ähnliche Informationen

Wie behebe ich Probleme mit der differenzierten Zugriffskontrolle in meinem OpenSearch-Service-Cluster?

Problembehandlung bei Amazon OpenSearch Service