基於ES內置及自定義用戶實現kibana和filebeat的認證
作者:“發顛的小狼”,歡迎轉載
目錄
▪ 用途
▪ 關閉服務
▪ elasticsearch-修改elasticsearch.yml配置
▪ elasticsearch-開啓服務
▪ elasticsearch-建立本地內置用戶
▪ kibana-創建私鑰庫
▪ kibana-WEB界面確認用戶
▪ filebeat-在WEB界面創建角色及用戶
▪ filebeat-服務器上創建密鑰庫
▪ filebeat-配置filebeat.yml
▪ 測試
▪ 附錄
用途
前情提要:
▷ 在第一篇《EFK教程 - 快速入門指南》中,闡述了EFK的安裝部署,其中ES的架構爲三節點,即master、ingest、data角色同時部署在三臺服務器上。
▷ 在第二篇《EFK教程 - ElasticSearch高性能高可用架構》中,闡述了EFK的data/ingest/master角色的用途及分別部署三節點,在實現性能最大化的同時保障高可用。
▷ 在第三篇《EFK教程(3) - ElasticSearch冷熱數據分離》中,闡述了ES多實例部署,將不同熱度的數據存在不同的磁盤上,實現了數據冷熱分離、資源合理分配。
▷ 在第四篇《EFK教程(4) - ElasticSearch集羣TLS加密通訊》中,闡述了ES集羣創建CA、CERT證書,實現ElasticSearch集羣之間數據通過TLS進行雙向加密交互。
本文:
▷ ES集羣開啓內置用戶和自定義用戶
▷ kibana通過ES內置kibana用戶連接ES集羣
▷ filebeat通過ES自定義test-filebeat用戶連接ES集羣
關閉服務
在進行下面實驗前,請先關閉所有ElasticSearch、kibana、filebeat進程
elasticsearch-修改elasticsearch.yml配置
按以上表格對應的實例新增conf目錄下elasticsearch.yml配置參數
# 在所有實例上加上以下配置
# 開啓本地用戶
xpack.security.enabled: true
# xpack的版本
xpack.license.self_generated.type: basic
elasticsearch-開啓服務
開啓所有ES服務
sudo -u elasticsearch ./bin/elasticsearch
elasticsearch-建立本地內置用戶
本地內置elastic、apm_system、kibana、logstash_system、beats_system、remote_monitoring_user用戶
# 在其中一臺master節點操作
# interactive 自定密碼 auto自動生密碼
sudo -u elasticsearch ./bin/elasticsearch-setup-passwords interactive
# 輸入elastic密碼
# 輸入apm_system密碼
# 輸入kibana密碼
# 輸入logstash_system密碼
# 輸入beats_system密碼
# 輸入remote_monitoring_user密碼
測試內部用戶
通過base64將elastic用戶進行加密,格式爲“elastic:elastic的密碼“
# 例如以下格式
curl -H "Authorization: Basic ZWxhc3RpYzplbGFzdGkxMjM0NTY3OA==" "http://192.168.1.31:9200/_cat/nodes?v"
如果不通過Basic訪問或base64加密錯誤會報以下錯誤
kibana-創建私鑰庫
在192.168.1.21創建私鑰庫
cd /opt/kibana/
# 創建密鑰庫
sudo -u kibana ./bin/kibana-keystore create
# 連接ES用戶名,這裏輸入kibana
sudo -u kibana ./bin/kibana-keystore add elasticsearch.username
# 連接ES密碼,這裏輸入剛剛設置kibana的密碼
sudo -u kibana ./bin/kibana-keystore add elasticsearch.password
在192.168.1.21確認私鑰庫
sudo -u kibana ./bin/kibana-keystore list
啓動服務
sudo -u kibana /opt/kibana/bin/kibana -c /opt/kibana/config/kibana.yml
kibana-WEB界面確認用戶
登入kibana
在瀏覽器輸入192.168.1.21:5601,用戶名:elastic 密碼:之前輸入elastic的密碼
filebeat-在WEB界面創建角色及用戶
創建自定義的filebeat角色
關於角色權限的說明請自行查閱附錄鏈接
創建自定義的filebeat用戶
filebeat-服務器上創建密鑰庫
在192.168.1.11創建filebeat密鑰庫
cd /opt/filebeat/
#創建密鑰庫
./filebeat keystore create
#創建test-filebeat用戶私鑰
./filebeat keystore add test-filebeat
確認filebeat密鑰庫
./filebeat keystore list
filebeat-配置filebeat.yml
配置filebeat.yml
# 文件輸入
filebeat.inputs:
# 文件輸入類型
- type: log
# 開啓加載
enabled: true
# 文件位置
paths:
- /var/log/nginx/access.log
# 自定義參數
fields:
type: nginx_access # 類型是nginx_access,和上面fields.type是一致的
# 輸出至elasticsearch
output.elasticsearch:
# 連接ES集羣的用戶名
username: test-filebeat
# 連接ES集羣的密碼
password: "${test-filebeat密碼}"
# elasticsearch集羣
hosts: ["http://192.168.1.31:9200",
"http://192.168.1.32:9200",
"http://192.168.1.33:9200"]
# 索引配置
indices:
# 索引名
- index: "nginx_access_%{+yyy.MM}"
# 當類型是nginx_access時使用此索引
when.equals:
fields.type: "nginx_access"
# 關閉自帶模板
setup.template.enabled: false
# 開啓日誌記錄
logging.to_files: true
# 日誌等級
logging.level: info
# 日誌文件
logging.files:
# 日誌位置
path: /opt/logs/filebeat/
# 日誌名字
name: filebeat
# 日誌輪轉期限,必須要2~1024
keepfiles: 7
# 日誌輪轉權限
permissions: 0600
啓動filebeat
/opt/filebeat/filebeat -e -c /opt/filebeat/filebeat.yml -d "publish"
測試
寫入一條數據
curl -I "http://192.168.1.11"
在kibana中查看
附錄
kibana角色權限相關文檔鏈接
https://www.elastic.co/guide/en/elasticsearch/reference/7.3/security-privileges.html#privileges-list-cluster