授予发布所需的权限和角色

授予发布事件所需的权限和角色

将事件发布到 Elasticsearch 的用户需要创建和写入 Filebeat 索引。为了最大限度地减少写入者角色所需的权限，请使用设置角色来预加载依赖项。本节假设您已运行设置。

当使用索引生命周期管理 (ILM)时，在运行 Filebeat 发布事件之前，请关闭 Filebeat 配置文件中的 ILM 设置检查

setup.ilm.check_exists: false

要授予所需的权限：

创建一个写入者角色，例如名为 filebeat_writer，该角色具有以下权限：

在每个配置中，都需要 monitor 集群权限和 filebeat-* 索引上的 create_doc 和 auto_configure 权限。

类型	权限	目的
集群	`monitor`	检索集群详细信息（例如，版本）
集群	`read_ilm`	连接到支持 ILM 的集群时，读取 ILM 策略。当 `setup.ilm.check_exists` 为 `false` 时，不需要此权限。
集群	`read_pipeline`	检查模块使用的摄取管道。使用模块时需要。
索引	`filebeat-*` 索引上的 `create_doc`	将事件写入 Elasticsearch
索引	`filebeat-*` 索引上的 `auto_configure`	更新数据流映射。考虑完全禁用，或者向集群设置 action.auto_create_index 添加规则 `-{beat_default_index_prefix}-*`，以防止代理创建不需要的索引。

省略您环境中不相关的任何权限。