我想激活 Amazon OpenSearch Service 的审计日志。
简短描述
激活审计日志的过程分为两步。首先,将您的域配置为向 Amazon CloudWatch Logs 发布审计日志。然后,在 OpenSearch Dashboards 中激活和配置审计日志。
有关详细信息,请参阅监控 Amazon OpenSearch Service 中的审计日志。
解决方法
**注意:**如果在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您使用的是最新的 AWS CLI 版本。
激活审计日志,并创建访问策略
1. 打开 OpenSearch Service 控制台。
2. 从导航窗格中,选择域,然后选择您的域。
3. 选择日志选项卡,选择审计日志,然后选择启用。
4. 创建 CloudWatch 日志组,或选择现有日志组。
5. 创建类似于以下内容的访问策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "es.amazonaws.com"
},
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "cw_log_group_arn"
}
]
}
6. 选择启用。
在 OpenSearch Dashboards 中激活审计日志
1. 打开 OpenSearch Dashboards,然后从导航窗格中选择安全性。
2. 选择审计日志。
3. 选择启用审计日志记录。
有关示例配置,请参阅审计日志示例。
对审计日志错误进行故障排除
您没有配置高级安全选项
当您激活审计日志,但您的域未激活精细访问控制时,会出现以下错误:
"UpdateDomainConfig: {"message":"无法启用审计日志发布,因为您没有配置高级安全选项。"}"
要解决此错误,请激活细粒度访问控制。
已超过资源限制
当达到每个 AWS 区域的 CloudWatch Logs 资源策略的最大数量时,会出现以下错误:
"PutResourcePolicy: {"__type":"LimitExceededException","message":"已超过资源限制。"}"
每个区域、每个账户最多可以有 10 个 CloudWatch Logs 资源策略。您无法更改此限额。有关详细信息,请参阅 CloudWatch Logs 限额。
要激活多个域的日志,您可以重复使用包含多个日志组的策略。
请运行以下 AWS CLI 命令,检查您账户中每个区域的资源策略:
aws logs describe-resource-policies --region <region-name>
**注意:**请将 region-name 替换为您的区域。
要更新您的资源策略以涵盖多个日志组,请添加通配符“*”。您还可以为所有日志组配置来自不同资源策略的多个语句,并删除旧策略。例如,如果您的日志组名称以 /aws/OpenSearchService/domains/ 开头,则可以创建应用于 /aws/OpenSearchService/domains/* 的资源策略。
以下示例资源策略允许您对所有以 /aws/OpenSearchService/domains/* 开头的日志组使用单一资源策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "es.amazonaws.com"
},
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:us-east-1:<account id>:log-group:/aws/OpenSearchService/domains/*:*"
}
]
}
现在,您可以在激活审计日志时选择此更新后的策略。
CloudWatch Logs 日志组的访问策略未授予足够的权限
当您尝试激活审计日志发布时,您可能会收到以下错误:
“为 CloudWatch Logs 日志组指定的资源访问策略没有为 Amazon OpenSearch Service 授予足够的权限来创建日志流。请查看资源访问策略。”
要解决此错误,请验证策略的资源元素是否包含正确的日志组 ARN。
相关信息
如何解决 OpenSearch Service 集群中的精细访问控制问题?
Amazon OpenSearch Service 故障排除