« 使用 Elasticsearch 进行安全通信 使用 Linux 安全计算模式 (seccomp) »
Elastic 文档 Metricbeat 参考 [8.14] 保护 Metricbeat

使用 Logstash 进行安全通信

编辑

使用 Logstash 进行安全通信编辑

您可以使用 SSL 互认证来保护 Metricbeat 和 Logstash 之间的连接。这可确保 Metricbeat 仅将加密数据发送到可信的 Logstash 服务器,并且 Logstash 服务器仅接收来自可信 Metricbeat 客户端的数据。

要使用 SSL 互认证

  1. 创建证书颁发机构 (CA),并使用它来签署您计划用于 Metricbeat 和 Logstash 的证书。创建正确的 SSL/TLS 基础架构不在本文档的范围之内。网上有很多资源介绍如何创建证书。

    如果您使用安全功能,可以使用 elasticsearch-certutil 工具 生成证书。

  2. 配置 Metricbeat 使用 SSL。在 metricbeat.yml 配置文件中,在 ssl 下指定以下设置

    • certificate_authorities:配置 Metricbeat 以信任由指定 CA 签名的任何证书。如果 certificate_authorities 为空或未设置,则使用主机系统的可信证书颁发机构。

    • certificatekey:指定 Metricbeat 用于向 Logstash 进行身份验证的证书和密钥。

      例如

      output.logstash:
  hosts: ["logs.mycompany.com:5044"]
  ssl.certificate_authorities: ["/etc/ca.crt"]
  ssl.certificate: "/etc/client.crt"
  ssl.key: "/etc/client.key"

      有关这些配置选项的更多信息,请参阅 SSL.

  3. 配置 Logstash 使用 SSL。在 Logstash 配置文件中,为 Logstash 的 Beats 输入插件 指定以下设置

    • ssl:设置为 true 时,将启用 Logstash 使用 SSL/TLS。
    • ssl_certificate_authorities:配置 Logstash 以信任由指定 CA 签名的任何证书。
    • ssl_certificatessl_key:指定 Logstash 用于向客户端进行身份验证的证书和密钥。

    • ssl_verify_mode:指定 Logstash 服务器是否针对 CA 验证客户端证书。您需要指定 peerforce_peer 才能使服务器要求证书并验证它。如果您指定了 force_peer,而 Metricbeat 没有提供证书,则 Logstash 连接将被关闭。如果您选择不使用 certutil,则您获得的证书必须允许 clientAuthserverAuth,前提是存在扩展密钥使用扩展。

      例如

      input {
  beats {
    port => 5044
    ssl => true
    ssl_certificate_authorities => ["/etc/ca.crt"]
    ssl_certificate => "/etc/server.crt"
    ssl_key => "/etc/server.key"
    ssl_verify_mode => "force_peer"
  }
}

      有关这些选项的更多信息,请参阅 Beats 输入插件的文档.

验证 Logstash 服务器的证书编辑

在运行 Metricbeat 之前,您应该验证 Logstash 服务器的证书。即使与 Logstash 通信的协议不是基于 HTTP 的,您也可以使用 curl 来验证证书。例如

curl -v --cacert ca.crt https://logs.mycompany.com:5044

如果测试成功,您将收到一个空的响应错误

* Rebuilt URL to: https://logs.mycompany.com:5044/
*   Trying 192.168.99.100...
* Connected to logs.mycompany.com (192.168.99.100) port 5044 (#0)
* TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* Server certificate: logs.mycompany.com
* Server certificate: mycompany.com
> GET / HTTP/1.1
> Host: logs.mycompany.com:5044
> User-Agent: curl/7.43.0
> Accept: */*
>
* Empty reply from server
* Connection #0 to host logs.mycompany.com left intact
curl: (52) Empty reply from server

以下示例使用 IP 地址而不是主机名来验证证书

curl -v --cacert ca.crt https://192.168.99.100:5044

此测试的验证失败,因为证书对指定的 IP 地址无效。它仅对证书“主题”字段中显示的主机名 logs.mycompany.com 有效。

* Rebuilt URL to: https://192.168.99.100:5044/
*   Trying 192.168.99.100...
* Connected to 192.168.99.100 (192.168.99.100) port 5044 (#0)
* WARNING: using IP address, SNI is being disabled by the OS.
* SSL: certificate verification failed (result: 5)
* Closing connection 0
curl: (51) SSL: certificate verification failed (result: 5)

请参阅 故障排除文档,了解有关解决此问题的详细信息。

测试 Metricbeat 到 Logstash 的连接编辑

如果您将 Metricbeat 作为服务运行,则首先停止该服务。然后,在前景中运行 Metricbeat 来测试您的设置,以便您可以快速查看出现的任何错误

metricbeat -c metricbeat.yml -e -v

任何错误都将打印到控制台。请参阅 故障排除文档,了解有关解决常见错误的详细信息。

« 使用 Elasticsearch 进行安全通信 使用 Linux 安全计算模式 (seccomp) »