与 Logstash 进行安全通信

您可以使用 SSL 双向认证来保护 Auditbeat 和 Logstash 之间的连接。这可确保 Auditbeat 只将加密数据发送到受信任的 Logstash 服务器，并且 Logstash 服务器只接收来自受信任的 Auditbeat 客户端的数据。

使用 SSL 双向身份验证

1. 创建一个证书颁发机构 (CA)，并使用它来签署您计划用于 Auditbeat 和 Logstash 的证书。创建正确的 SSL/TLS 基础设施超出了本文档的范围。有很多在线资源可以描述如何创建证书。

   提示

   如果您使用的是安全功能，您可以使用 elasticsearch-certutil 工具来生成证书。

2. 配置 Auditbeat 使用 SSL。在 auditbeat.yml 配置文件中，在 ssl 下指定以下设置：

   • certificate_authorities：配置 Auditbeat 信任由指定 CA 签名的任何证书。如果 certificate_authorities 为空或未设置，则使用主机系统的受信任证书颁发机构。

   • certificate 和 key：指定 Auditbeat 用于向 Logstash 进行身份验证的证书和密钥。

     例如

     output.logstash:
       hosts: ["logs.mycompany.com:5044"]
       ssl.certificate_authorities: ["/etc/ca.crt"]
       ssl.certificate: "/etc/client.crt"
       ssl.key: "/etc/client.key"
     

     有关这些配置选项的更多信息，请参阅 SSL。

3. 配置 Logstash 使用 SSL。在 Logstash 配置文件中，为 Logstash 的 Beats 输入插件指定以下设置：

   • ssl: 当设置为 true 时，启用 Logstash 使用 SSL/TLS。

   • ssl_certificate_authorities: 配置 Logstash 信任由指定 CA 签名的任何证书。

   • ssl_certificate 和 ssl_key: 指定 Logstash 用于与客户端进行身份验证的证书和密钥。

   • ssl_verify_mode：指定 Logstash 服务器是否使用 CA 验证客户端证书。您需要指定 peer 或 force_peer 才能使服务器请求证书并进行验证。如果指定 force_peer，而 Auditbeat 未提供证书，则 Logstash 连接将被关闭。如果您选择不使用 certutil，那么您获得的证书必须允许 clientAuth 和 serverAuth，如果存在扩展密钥用法扩展。

     例如

     input {
       beats {
         port => 5044
         ssl => true
         ssl_certificate_authorities => ["/etc/ca.crt"]
         ssl_certificate => "/etc/server.crt"
         ssl_key => "/etc/server.key"
         ssl_verify_mode => "force_peer"
       }
     }
     

     有关这些选项的更多信息，请参阅 Beats 输入插件的文档。

在运行 Auditbeat 之前，您应该验证 Logstash 服务器的证书。您可以使用 curl 来验证证书，即使与 Logstash 通信使用的协议不基于 HTTP。例如：

curl -v --cacert ca.crt https://logs.mycompany.com:5044

如果测试成功，您将收到一个空响应错误。

* Rebuilt URL to: https://logs.mycompany.com:5044/
*   Trying 192.168.99.100...
* Connected to logs.mycompany.com (192.168.99.100) port 5044 (#0)
* TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* Server certificate: logs.mycompany.com
* Server certificate: mycompany.com
> GET / HTTP/1.1
> Host: logs.mycompany.com:5044
> User-Agent: curl/7.43.0
> Accept: */*
>
* Empty reply from server
* Connection #0 to host logs.mycompany.com left intact
curl: (52) Empty reply from server

下面的示例使用 IP 地址而不是主机名来验证证书。

curl -v --cacert ca.crt https://192.168.99.100:5044

此测试的验证失败，因为证书对于指定的 IP 地址无效。它仅对 logs.mycompany.com 有效，这是证书主题字段中出现的主机名。

* Rebuilt URL to: https://192.168.99.100:5044/
*   Trying 192.168.99.100...
* Connected to 192.168.99.100 (192.168.99.100) port 5044 (#0)
* WARNING: using IP address, SNI is being disabled by the OS.
* SSL: certificate verification failed (result: 5)
* Closing connection 0
curl: (51) SSL: certificate verification failed (result: 5)

有关解决此问题的更多信息，请参阅 故障排除文档。

如果 Auditbeat 作为服务运行，请先停止该服务。然后通过在前台运行 Auditbeat 来测试您的设置，以便您可以快速看到发生的任何错误。

auditbeat -c auditbeat.yml -e -v

任何错误都将打印到控制台。有关解决常见错误的更多信息，请参阅 故障排除文档。