elasticsearch添加賬號和權限

原創 我的社會主義夢 2021-12-25 21:22

教程:安全入門

Tutorial: Getting started with security

準備工作:常用軟件-ELKF+kafka集羣

  1. 安裝和配置Elasticsearch, Kibana, Logstash.
  2. 停止logstash
  3. 通過瀏覽器訪問Kibana web界面。例如,http://127.0.0.1:5601.

啓用Elasticsearch安全功能

Enable Elasticsearch security features

  1. 停止kibana

  2. 停止 elasticsearch

  3. 添加xpack.security.enabled 配置到文件 conf/elasticsearch.yml

    Add the xpack.security.enabled setting to the ES_PATH_CONF/elasticsearch.yml file

    Yaml
      
    xpack.security.enabled: true

  4. 啓用單節點配置, 不需要配置集羣的節點間通信配置傳輸層安全(TLS)

    Enable single-node discovery in the ES_PATH_CONF/elasticsearch.yml file.

    Yaml
    複製成功 
    discovery.type: single-node
# cluster.initial_master_nodes: ["ikj-elk-115"] 初始化主節點

  5. 啓動elasticsearch

    Code
      
    su es -c "/opt/elasticsearch/bin/elasticsearch -d"

爲內置用戶創建密碼

Create passwords for built-in users

  1. 重啓 elasticsearch

    Code
      
    su es -c "/opt/elasticsearch/bin/elasticsearch -d"

  2. 設置內置用戶的密碼。這裏需要爲4個用戶分別設置密碼,elastic, kibana, logstash_system,beats_system ( 注意:此時要開啓ES)

    Set the built-in users’ passwords.

    Sh
      
    ./bin/elasticsearch-setup-passwords interactive

    其中,用戶權限分別如下:

    • elastic 賬號:擁有 superuser 角色,是內置的超級用戶。
    • kibana 賬號:擁有 kibana_system 角色,用戶 kibana 用來連接 elasticsearch 並與之通信。Kibana 服務器以該用戶身份提交請求以訪問集羣監視 API 和 .kibana 索引。不能訪問 index。
    • logstash_system 賬號:擁有 logstash_system 角色。用戶 Logstash 在 Elasticsearch 中存儲監控信息時使用。

  3. 修改密碼命令如下

    創建一個臨時的超級用戶 RyanMiao用這個用戶去修改elastic用戶的密碼

    Code
      
    bin/elasticsearch-users useradd my_admin -p my_password -r superuser
curl -XPUT -u my_admin:my_password https://localhost:9200/_xpack/security/user/elastic/_password -H "Content-Type: application/json" -d '{ "password": "123456" }'

爲kibana添加內置用戶

Add the built-in user to Kibana

  1. 添加 內置用戶 kibana_system 的用戶名和密碼

    Configure Kibana to use the built-in kibana_system user and the password that you created

    Code
      
    elasticsearch.username: "kibana_system"
elasticsearch.password: "your_password"

    如果你不想將密碼放到配置文件中,也可以放到密鑰庫中

    Code
      
    ./bin/kibana-keystore create
./bin/kibana-keystore add elasticsearch.username
./bin/kibana-keystore add elasticsearch.password

  2. 重啓kibana

    Code
      
    su es -c "cd /opt/kibana && /opt/kibana/bin/kibana &"

  3. 驗證kibana 啓動正常

配置權限

Configure authentication

  1. 權限可以使用默認即可,如果沒有特殊配置可以直接去創建用戶

創建用戶

Create users

  1. 通過內置用戶登陸 kibana
  2. 打開菜單 ,Stack Management > Security > Users.
  3. 點擊 Create user; 創建用戶,分配 role權限 kibana_user
  4. 依次創建用戶

分配角色

Assign roles

  1. 通過內置用戶登陸 kibana
  2. 打開菜單 ,Stack Management > Security > Roles.
  3. 點擊 Create Role; 創建角色
  4. 添加 Role name, Indices, Privileges
  5. 點擊左下角 Create Role
  6. 依次創建角色 role-demo2 等
  7. 編輯用戶,併爲用戶分配角色

爲logstash添加用戶

Add user information in Logstash

  1. 在logstash 配置文件中,添加kibana用戶名和密碼

    Code
      
    output {
  elasticsearch {
    hosts => "localhost:9200"
    manage_template => false
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    user => "logstash_internal" 
    password => "your_password" 
  }
}

  2. 如果你不想要在配置文件中使用用戶名和密碼,也可以存儲在密鑰中

    Code
      
    set +o history
export LOGSTASH_KEYSTORE_PASS=mypassword 
set -o history
./bin/logstash-keystore create
./bin/logstash-keystore add ES_USER
./bin/logstash-keystore add ES_PWD

    然後你就可以在配置文件中使用變量

    Code
      
    user => "${ES_USER}"
password => "${ES_PWD}"

  3. 啓動logstash

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

如何保障服務的高可用:提升可觀測性

保障服務的高可用,必不可少的措施,就是需要對服務資源使用度量情況、運行異常、邏輯錯誤、請求鏈路、等各項度量指標、日誌和鏈路瞭如指掌,並且通過對服務的實時監控和分析,配置指標預警值,對異常進行告警,通知到相關負責人,通過可觀測性的提升,預防和

原創 2024-02-26 00:41:47

es使用記錄

此文章要對ES有一些基礎 應用背景:官網重建,需要全網站檢索所有的文章、服務、附件等;數據庫設計上,由於業務隔離的原因,數據被分散在各個表中 技術選型:在開發週期限制條件下,準備了兩個方案:                   1、查詢直

原創 2022-04-30 12:55:14

無需重新學習,使用 Kibana 查詢/可視化 SLS 數據

作者:荊磊 場景 現在通過 SLS 的 ES 兼容能力,可以很方便地實現用 Kibana 來查詢和可視化 SLS 的數據。對於從 ES 遷移到 SLS 的用戶可以繼續保留原來的 Kibana 使用習慣。下面來演示如何通過 Kibana 來訪

原創 2024-04-28 21:12:20

更優性能與性價比,從自建 ELK 遷移到 SLS 開始

作者:荊磊 背景 ELK (Elasticsearch、Logstash、Kibana) 是當下開源領域主流的日誌解決方案,在可觀測場景下有比較廣泛的應用。 隨着數字化進程加速,機器數據日誌增加,自建 ELK 在面臨大規模數據、查詢性能等方

原創 2024-04-15 21:12:22

甲方安全建設之日誌採集實操乾貨

前言 沒有永遠的安全,如何在被攻擊的情況下,快速響應和快速溯源分析攻擊動作是個重要的話題。想要分析攻擊者做了什麼、怎麼攻擊進來的、還攻擊了誰,那麼日誌是必不可少的一項,因此我們需要儘可能採集多的日誌來進行分析攻擊者的動作,甚至在攻擊者剛落

原創 2024-04-07 22:46:03

centos7 搭建kibana-8.8.1

1、下載      官網地址:https://www.elastic.co/cn/downloads/kibana      華爲鏡像:https://mirrors.huaweicloud.com/kibana/      官網下載速度比

原創 2023-08-19 09:20:44

Camunda簡介及開源協議

Camunda (Github,官網)是一個工作流引擎。目前提供二個主線版本7.X 與 8.X,二個主線版本架構上並不相同。 7.X與Activiti, Flowable 等開源工作流類似,以數據庫爲基礎,迭代完善的BPMN,DMN等功

原創 2023-02-01 23:36:06

ES數據遷移Reindex

數據遷移:Reindex: ES提供了_reindex這個API。相對於程序重新導入數據快,實測速度大概是bulk導入數據的5-10倍。 數據遷移步驟: 1、創建新的索引 2、遷移數據 1)代碼請求: POST _reindex { "

曾阿倫 2022-04-30 11:03:19

OS X 上運行 kibana 的錯誤處理:nodegit.node 無法打開

在 OS X 上從官網上下載 kibana 安裝包,解壓運行 bin/kibana 後報錯 解決辦法: 在解壓前先執行:xattr -d com.apple.quarantine kibana-xxxxx.tar.gz 然後再解壓啓動就可

原創 2022-04-30 10:35:50

es聚合統計查詢

#基數統計 GET kibana_sample_data_ecommerce/_search {   "size": 0,   "aggs": {     "customer_id_card": {       "cardinality":

原創 2022-04-30 09:29:49

Java日誌框架學習

前言   Java開發者對於日誌框架,想必都不陌生。我自己使用過的有Log4j、logback。作爲Java開發者,應該都遇到因日誌包衝突導致的異常問題,排查過程也或多或少知曉 Java日誌接口包、橋接包、產品包的混亂關係,本篇目的是爲了

原創 2024-02-22 23:52:29

阿里雲消息隊列 Kafka 生態集成的實踐與探索

消息隊列 Kafka 簡介 Apache Kafka是一個分佈式流平臺,作爲互聯網領域不可或缺的消息組件,在全球獲得了廣泛的應用。在使用過程中,Kafka一般被作爲消息流轉的核心樞紐,上下游系統通過Kafka實現異步,削峯填谷。在大數據處

原創 2023-03-01 00:13:05

微服務日誌調用鏈事件(request-id),從nginx到elk

Nginx生成request-id 每次請求通過nginx時,生成一個request-id,添加到請求頭上。 通過nginx內置的 $request_id 實現 proxy_set_header X-Request-Id $reque

原創 2022-04-30 13:40:44

logstash將mysql數據映射到es過程中的date數據格式問題

問題現象: {"index"=>{"_index"=>"product", "_type"=>"_doc", "_id"=>"146", "status"=>400, "error"=>{"type"=>"mapper_parsing_e

原創 2022-04-30 11:49:21

Spring中如何優雅地配置日誌

背景 spring對logback提供了良好的支持,大部分情況下,不需要自定義logback配置文件 而很多項目對logback在spring中的使用,很多都做了不必要的定製: 通過logback.xml自定義配置:這種方式繞過了spri

原創 2022-04-30 11:45:21