授予发布所需的权限和角色

授予发布事件所需的权限和角色

将事件发布到 Elasticsearch 的用户需要创建并写入 Packetbeat 索引。为了最小化写入角色所需的权限，请使用设置角色预加载依赖项。本节假设您已运行设置。

当使用索引生命周期管理 (ILM)时，在运行 Packetbeat 发布事件之前，请在 Packetbeat 配置文件中关闭 ILM 设置检查。

setup.ilm.check_exists: false

要授予所需的权限

创建一个写入角色，例如名为 packetbeat_writer，该角色具有以下权限：

在每个配置中，都需要 monitor 集群权限和 packetbeat-* 索引上的 create_doc 和 auto_configure 权限。

类型	权限	目的
集群	`monitor`	检索集群详细信息（例如，版本）
集群	`read_ilm`	连接到支持 ILM 的集群时，读取 ILM 策略。当 `setup.ilm.check_exists` 为 `false` 时，不需要。
索引	`packetbeat-*` 索引上的 `create_doc`	将事件写入 Elasticsearch
索引	`packetbeat-*` 索引上的 `auto_configure`	更新数据流映射。考虑完全禁用或在集群设置 action.auto_create_index 中添加规则 `-{beat_default_index_prefix}-*`，以防止代理创建不需要的索引。

省略在您的环境中不相关的任何权限。