Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Como faço para ativar os logs de auditoria no OpenSearch Service?
Quero ativar os logs de auditoria no Amazon OpenSearch Service.
Breve descrição
Para ativar os logs de auditoria primeiro, configure seu domínio para publicar os logs de auditoria no Amazon CloudWatch Logs. Em seguida, ative e configure os logs de auditoria no OpenSearch Dashboards.
Para obter mais informações, consulte Monitorando registros de auditoria no Amazon OpenSearch Service.
Resolução
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Antes de ativar os logs de auditoria, você deve ativar o controle de acesso refinado no cluster.
Ativar logs de auditoria no OpenSearch Service
Para ativar os logs de auditoria e criar uma política de acesso no serviço OpenSearch, conclua as seguintes etapas:
-
Abra o console do OpenSearch Service.
-
No painel de navegação, selecione Domínios e, em seguida, selecione seu domínio.
-
Clique na guia Logs, selecione Logs de auditoria e clique em Ativar.
-
Selecione Configurar logs de erros e clique em Criar nova política ou Selecionar política existente.
Para criar uma nova política, em Nome da nova política, insira um nome de política e atualize a política com uma política de acesso semelhante ao exemplo a seguir:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com" }, "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "cw_log_group_arn" } ] } -
Selecione Ativar.
Ative os logs de auditoria no OpenSearch Dashboards
Conclua as etapas a seguir:
- Abra o OpenSearch Dashboards.
- Selecione Segurança.
Observação: para ativar os logs de auditoria, você deve ter seu perfil de usuário mapeado para o perfil security_manager. Caso contrário, não será possível ver a guia Segurança nos painéis do OpenSearch. - Selecione Logs de auditoria.
- Clique em Ativar registro em log de auditoria.
Para ver um exemplo de configuração, consulte Exemplo de log de auditoria.
Solucione erros de log de auditoria
Você não configurou opções avançadas de segurança
Quando você ativa os logs de auditoria e o controle de acesso refinado não é ativado no seu domínio, você recebe a seguinte mensagem de erro:
"UpdateDomainConfig: {"message":"audit log publishing cannot be enabled as you do not have advanced security options configured."}"
Para solucionar esse erro, ative o controle de acesso refinado.
Limite do recurso excedido
Quando você atinge o número máximo de políticas de recursos do CloudWatch Logs por região da AWS, você recebe a seguinte mensagem de erro:
"PutResourcePolicy: {"__type":"LimitExceededException","message":"Resource limit exceeded."}"
É possível ter até 10 políticas de recursos do CloudWatch Logs por região, por conta. Não é possível alterar essa cota. Para obter mais informações, consulte Cotas CloudWatch Logs.
Para ativar logs para vários domínios, é possível reutilizar uma política que inclui vários grupos de logs.
Para verificar as políticas de recursos em sua conta por região, execute o comando describe-resource-policies da AWS CLI:
aws logs describe-resource-policies --region region-name
Observação: substitua region-name pela sua região.
Para atualizar sua política de recursos para abranger vários grupos de logs, adicione um caractere curinga, *. Também é possível configurar várias instruções de diferentes políticas de recursos para todos os grupos de logs e excluir as políticas antigas.
Por exemplo, se os nomes dos seus grupos de logs começarem com /aws/OpenSearchService/domains/, é possível criar uma política de recursos que se aplique a /aws/OpenSearchService/domains/*.
O exemplo de política de recursos a seguir cria uma única política de recursos para todos os grupos de logs que começam com /aws/OpenSearchService/domains/*:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com" }, "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:REGION:AccountID:log-group:/aws/OpenSearchService/domains/*:*" } ] }
Observação: substitua Region pela sua região. Substitua AccountID pelo ID da sua conta.
Para aplicar a política consolidada, execute o seguinte comando no cloudshell:
aws logs put-resource-policy \ --policy-name yourPolicyName \ --policy-document file://policy.json
Observação: substitua yourPolicyName pelo nome da sua política.
Agora é possível selecionar essa política atualizada ao ativar os logs de auditoria.
Para remover políticas desnecessárias ou duplicadas, execute o comando delete-resource-policy:
aws logs delete-resource-policy --policy-name PolicyName
Observação: substitua PolicyName pelo nome da política que você deseja excluir.
A política de acesso para o grupo de logs no CloudWatch Logs não concede permissões suficientes
Ao tentar ativar a publicação de log de auditoria, é possível receber a seguinte mensagem de erro:
"The Resource Access Policy specified for the CloudWatch Logs log group does not grant sufficient permissions for Amazon OpenSearch Service to create a log stream. Please check the Resource Access Policy."
Para solucionar esse erro, verifique se o elemento de recurso da sua política inclui o ARN correto do grupo de logs.
Informações relacionadas
Como soluciono erros de controle de acesso refinado no meu cluster do Amazon OpenSearch Service?
- Tópicos
- Analytics
- Idioma
- Português
Conteúdo relevante
- feita há 7 meses
- feita há 7 meses
- AWS OFICIALAtualizada há um ano
