- Packetbeat 参考其他版本
- Packetbeat 概述
- 快速入门:安装和配置
- 设置和运行
- 升级 Packetbeat
- 配置
- 流量嗅探
- 网络流
- 协议
- 进程
- 常规设置
- 项目路径
- 输出
- Kerberos
- SSL
- 索引生命周期管理 (ILM)
- Elasticsearch 索引模板
- Kibana 端点
- Kibana 仪表板
- 处理器
- 定义处理器
- add_cloud_metadata
- add_cloudfoundry_metadata
- add_docker_metadata
- add_fields
- add_host_metadata
- add_id
- add_kubernetes_metadata
- add_labels
- add_locale
- add_network_direction
- add_nomad_metadata
- add_observer_metadata
- add_process_metadata
- add_tags
- append
- community_id
- convert
- copy_fields
- decode_base64_field
- decode_duration
- decode_json_fields
- decode_xml
- decode_xml_wineventlog
- decompress_gzip_field
- detect_mime_type
- dissect
- dns
- drop_event
- drop_fields
- extract_array
- fingerprint
- include_fields
- move_fields
- rate_limit
- registered_domain
- rename
- replace
- syslog
- translate_ldap_attribute
- translate_sid
- truncate_fields
- urldecode
- 内部队列
- 日志
- HTTP 端点
- 检测
- 功能标志
- packetbeat.reference.yml
- 操作指南
- 导出的字段
- 监视
- 安全
- 在 Kibana 中可视化 Packetbeat 数据
- 故障排除
- 获取帮助
- 调试
- 了解记录的指标
- 记录跟踪
- 常见问题
- Kibana 中的仪表板错误地分解了数据字段
- 使用镜像端口时,Packetbeat 看不到任何数据包
- Packetbeat 无法捕获 Windows 回环接口的流量
- Packetbeat 缺少长时间运行的事务
- Packetbeat 未捕获 MySQL 性能数据
- Packetbeat 使用了过多的带宽
- 加载配置文件时出错
- 找到意外或未知字符
- Logstash 连接不起作用
- 发布到 Logstash 失败并显示 “connection reset by peer” 消息
- Logstash 中缺少 @metadata
- 不确定是使用 Logstash 还是 Beats
- SSL 客户端无法连接到 Logstash
- 监控 UI 显示的 Beats 比预期的少
- 仪表板无法找到索引模式
- 由于 MADV 设置导致 RSS 内存使用率过高
- 字段在 Kibana 中显示为嵌套的 JSON
- 为 Beats 做贡献
与 Elasticsearch 的安全通信
编辑与 Elasticsearch 的安全通信
编辑当通过 elasticsearch 输出将数据发送到受保护的集群时,Packetbeat 可以使用以下任何一种身份验证方法
- 基本身份验证凭据(用户名和密码)。
- 基于令牌的 API 身份验证。
- 客户端证书。
身份验证在 Packetbeat 配置文件中指定
-
要使用基本身份验证,请在
output.elasticsearch下指定username和password设置。例如 -
要使用基于令牌的API 密钥身份验证,请在
output.elasticsearch下指定api_key。例如output.elasticsearch: hosts: ["https://myEShost:9200"] api_key: "ZCV7VnwBgnX0T19fN8Qe:KnR6yE41RrSowb0kQ0HWoA"
此 API 密钥必须具有将事件发布到 Elasticsearch 所需的权限。要创建这样的 API 密钥,请参阅使用 API 密钥授予访问权限。
-
要使用公钥基础设施 (PKI) 证书来验证用户身份,请在
output.elasticsearch下指定certificate和key设置。例如output.elasticsearch: hosts: ["https://myEShost:9200"] ssl.certificate: "/etc/pki/client/cert.pem" ssl.key: "/etc/pki/client/cert.key"
这些设置假设证书中的专有名称 (DN) 映射到 Elasticsearch 集群中每个节点上的
role_mapping.yml文件中的相应角色。有关更多信息,请参阅使用角色映射文件。默认情况下,Packetbeat 使用运行 Packetbeat 的操作系统中受信任的证书颁发机构 (CA) 列表。如果签署节点证书的证书颁发机构不在主机系统的受信任证书颁发机构列表中,则需要将包含 CA 证书的
.pem文件的路径添加到 Packetbeat 配置中。这将配置 Packetbeat 以使用特定的 CA 证书列表,而不是来自操作系统的默认列表。这是一个示例配置
output.elasticsearch: hosts: ["https://myEShost:9200"] ssl.certificate_authorities: - /etc/pki/my_root_ca.pem - /etc/pki/my_other_ca.pem ssl.certificate: "/etc/pki/client.pem" ssl.key: "/etc/pki/key.pem"
对于任何给定的连接,SSL/TLS 证书必须具有与为
hosts指定的值匹配的主题,否则 SSL 握手将失败。例如,如果您指定hosts: ["foobar:9200"],则证书必须在主题 (CN=foobar) 或作为主题备用名称 (SAN) 中包含foobar。确保主机名解析为正确的 IP 地址。如果没有 DNS 可用,那么您可以将 IP 地址与/etc/hosts(在 Unix 上)或C:\Windows\System32\drivers\etc\hosts(在 Windows 上)中的主机名关联起来。
与 Kibana 端点的安全通信
编辑如果您已配置Kibana 端点,您还可以在 kibana.setup 下指定用于与 Kibana 进行身份验证的凭据。如果未指定凭据,Kibana 将使用 Elasticsearch 输出中配置的身份验证方法。
例如,指定唯一的用户名和密码以像这样连接到 Kibana
了解有关安全通信的更多信息
编辑有关将数据发送到受保护的集群的更多信息,请参阅配置参考
On this page