3.审计设置.md

您可以使用 审核日志 记录与安全相关的事件，例如身份验证失败、拒绝连接和数据访问事件。此外，还会记录通过API对安全配置的更改，例如创建、更新和删除本机和内置用户、角色、角色映射和API密钥。

审核日志仅在某些订阅级别上可用。有关详细信息，请参阅 https://www.elastic.co/subscriptions.

如果已配置，则必须在集群中的每个节点上设置审核设置。对于静态设置（如xpack.security.audit.enabled），必须在每个节点的elasticsearch.yml配置。对于动态审计设置，使用集群更新设置API确保所有节点上的设置相同。