« 授予监控所需的权限和角色 授予从 Kibana 读取 Winlogbeat 数据所需的权限和角色 »
Elastic 文档 Winlogbeat 参考 [8.14] 保护 Winlogbeat 安全 授予用户访问受保护资源的权限

授予发布所需的权限和角色

编辑

授予发布所需的权限和角色编辑

向 Elasticsearch 发布事件的用户需要创建 Winlogbeat 索引并写入其中。为了最大限度地减少写入者角色所需的权限,请使用 设置角色 预加载依赖项。本节假设您已完成设置。

使用 ILM 时,在运行 Winlogbeat 发布事件之前,请关闭 Winlogbeat 配置文件中的 ILM 设置检查

setup.ilm.check_exists: false

要授予所需的权限

  1. 创建一个名为 写入者角色(例如 winlogbeat_writer),它具有以下权限

    每个配置都需要 monitor 集群权限以及对 winlogbeat-* 索引的 create_docauto_configure 权限。

    类型 权限 目的

    集群

    monitor

    检索集群详细信息(例如版本)

    集群

    read_ilm

    连接到支持 ILM 的集群时读取 ILM 策略。当 setup.ilm.check_existsfalse 时不需要。

    集群

    read_pipeline

    检查 Winlogbeat 使用的摄取管道。

    索引

    winlogbeat-* 索引的 create_doc 权限

    将事件写入 Elasticsearch

    索引

    winlogbeat-* 索引的 auto_configure 权限

    更新数据流映射。考虑完全禁用或将规则 winlogbeat-* 添加到集群设置 action.auto_create_index,以防止代理创建不需要的索引。

    省略环境中不相关的任何权限。

  2. 写入者角色 分配给将事件索引到 Elasticsearch 的用户。
« 授予监控所需的权限和角色 授予从 Kibana 读取 Winlogbeat 数据所需的权限和角色 »