es的审计功能开启 不生效

背景： es集群中某个node的cpu飙增，通过hot_threads得知某个search出现慢请求。现需要通过es的审计日志，进一步分析
操作： 在es的elasticsearch.yml中开启了audit，但是不起作用【原因: 没看到audit.log】
#xpack
xpack.security:
enabled: true
#开启审计功能
audit:
enabled: true