« 授予监控所需的权限和角色 授予从 Kibana 读取 Packetbeat 数据所需的权限和角色 »
Elastic 文档 Packetbeat 参考 [8.14] 保护 Packetbeat 授予用户对受保护资源的访问权限

授予发布所需的权限和角色

编辑

授予发布所需的权限和角色编辑

将事件发布到 Elasticsearch 的用户需要创建并写入 Packetbeat 索引。为了最小化写入者角色所需的权限,使用 setup 角色 预加载依赖项。本节假定您已运行设置。

使用 ILM 时,在运行 Packetbeat 发布事件之前,在 Packetbeat 配置文件中关闭 ILM 设置检查

setup.ilm.check_exists: false

要授予所需的权限

  1. 创建一个名为 写入者角色(例如 packetbeat_writer),该角色具有以下权限

    在每个配置中都需要 monitor 集群权限以及对 packetbeat-* 索引的 create_docauto_configure 权限。

    类型 权限 目的

    集群

    monitor

    检索集群详细信息(例如版本)

    集群

    read_ilm

    连接到支持 ILM 的集群时读取 ILM 策略。当 setup.ilm.check_existsfalse 时不需要。

    索引

    create_docpacketbeat-* 索引上

    将事件写入 Elasticsearch

    索引

    auto_configurepacketbeat-* 索引上

    更新数据流映射。考虑完全禁用或将规则 packetbeat-* 添加到集群设置 action.auto_create_index 以防止代理创建意外索引。

    省略环境中不相关的任何权限。

  2. 写入者角色 分配给将事件索引到 Elasticsearch 的用户。
« 授予监控所需的权限和角色 授予从 Kibana 读取 Packetbeat 数据所需的权限和角色 »