概要描述

TDH621 + guardian3.1.2 开启 search 安全后，cluster_access.log 会对 search 的操作做审计日志记录，当操作比较频繁时，会造成该日志文件生成过快，占用空间过大的问题。

详细说明

本案例介绍一种修改 serach 日志级别的方法，以及一种新增服务配置模板文件的方法；

操作步骤

1、修改日志级别的方法

cluster_access.log 日志是由 /etc/search1/instancegroup1/conf/transwarp-doorkeeper/log4j2.properties 这个文件控制日志生成规则的，可以修改日志记录级别从 info 改成 warn，如下图所示：

2、新增服务配置模板

由于 search 的服务配置模板文件，只会同步 jvm.options、elasticsearch-env、elasticsearch.yml 几个文件，并未包含 log4j2.properties，所以如果希望对所有的 search server 生效，需要修改所有节点的这个配置文件；当节点数量比较多时，修改起来比较麻烦，所以提供一种新增服务配置模板的方法。
修改对应版本的 SEARCH 的 metainfo.xml，添加一下模板文件 template 的分发规则，建立 template 里需要分发的文件夹；

mkdir /var/lib/transwarp-manager/master/content/meta/services/SEARCH/transwarp-6.2.1-final/templates/transwarp-doorkeeper

将步骤1中修改好的 log4j2.properties 日志规则文件拷贝到新建的模板的子目录下，并根据规则命名为 log4j2.properties.raw

cp /etc/search1/instancegroup1/conf/transwarp-doorkeeper/log4j2.properties /var/lib/transwarp-manager/master/content/meta/services/SEARCH/transwarp-6.2.1-final/templates/transwarp-doorkeeper/log4j2.properties.raw

在修改metainfo.yaml之前，做下备份

cp  /var/lib/transwarp-manager/master/content/meta/services/SEARCH/transwarp-6.2.1-final/metainfo.yaml  /var/lib/transwarp-manager/master/content/meta/services/SEARCH/transwarp-6.2.1-final/metainfo.yaml.init

修改 metainfo.yaml，添加一段资源，如下图所示：

vim /var/lib/transwarp-manager/master/content/meta/services/SEARCH/transwarp-6.2.1-final/metainfo.yaml

        - directive: !
            templateType: Raw
            templatePath: "transwarp-doorkeeper/log4j2.properties.raw"
            targetPath: "/etc/${service.sid}/${roleGroupName}/conf/transwarp-doorkeeper/log4j2.properties"
            mode: "755"

更改完成后，重启 manager：/etc/init.d/transwarp-manager restart

3、配置服务并验证

登录 manager，search 配置服务，重启 search，检查节点是否有被正确分发文件