与 Logstash 的安全通信
编辑与 Logstash 的安全通信
编辑您可以使用 SSL 互认证来保护 Winlogbeat 和 Logstash 之间的连接。这确保 Winlogbeat 仅向受信任的 Logstash 服务器发送加密数据,并且 Logstash 服务器仅接收来自受信任的 Winlogbeat 客户端的数据。
要使用 SSL 互认证
-
创建一个证书颁发机构 (CA),并使用它来签署您计划用于 Winlogbeat 和 Logstash 的证书。创建正确的 SSL/TLS 基础设施不在本文档的范围之内。网上有很多资源描述了如何创建证书。
如果您正在使用安全功能,则可以使用 elasticsearch-certutil 工具 生成证书。
-
配置 Winlogbeat 以使用 SSL。在
winlogbeat.yml
配置文件中,在ssl
下指定以下设置-
certificate_authorities
:配置 Winlogbeat 以信任由指定 CA 签署的任何证书。如果certificate_authorities
为空或未设置,则使用主机系统的受信任证书颁发机构。 -
certificate
和key
:指定 Winlogbeat 用于向 Logstash 进行身份验证的证书和密钥。例如
output.logstash: hosts: ["logs.mycompany.com:5044"] ssl.certificate_authorities: ["/etc/ca.crt"] ssl.certificate: "/etc/client.crt" ssl.key: "/etc/client.key"
有关这些配置选项的更多信息,请参阅 SSL。
-
-
配置 Logstash 以使用 SSL。在 Logstash 配置文件中,为 Logstash 的 Beats 输入插件 指定以下设置
-
ssl
:设置为 true 时,启用 Logstash 使用 SSL/TLS。 -
ssl_certificate_authorities
:配置 Logstash 以信任由指定 CA 签署的任何证书。 -
ssl_certificate
和ssl_key
:指定 Logstash 用于向客户端进行身份验证的证书和密钥。 -
ssl_verify_mode
:指定 Logstash 服务器是否根据 CA 验证客户端证书。您需要指定peer
或force_peer
以使服务器请求证书并进行验证。如果您指定force_peer
,并且 Winlogbeat 未提供证书,则 Logstash 连接将被关闭。如果您选择不使用 certutil,则如果您存在扩展密钥使用扩展,则您获得的证书必须同时允许clientAuth
和serverAuth
。例如
input { beats { port => 5044 ssl => true ssl_certificate_authorities => ["/etc/ca.crt"] ssl_certificate => "/etc/server.crt" ssl_key => "/etc/server.key" ssl_verify_mode => "force_peer" } }
有关这些选项的更多信息,请参阅 Beats 输入插件的文档。
-
验证 Logstash 服务器的证书
编辑在运行 Winlogbeat 之前,您应该验证 Logstash 服务器的证书。即使用于与 Logstash 通信的协议不是基于 HTTP,您也可以使用 curl
来验证证书。例如
curl -v --cacert ca.crt https://logs.mycompany.com:5044
如果测试成功,您将收到一个空响应错误
* Rebuilt URL to: https://logs.mycompany.com:5044/ * Trying 192.168.99.100... * Connected to logs.mycompany.com (192.168.99.100) port 5044 (#0) * TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_256_CBC_SHA * Server certificate: logs.mycompany.com * Server certificate: mycompany.com > GET / HTTP/1.1 > Host: logs.mycompany.com:5044 > User-Agent: curl/7.43.0 > Accept: */* > * Empty reply from server * Connection #0 to host logs.mycompany.com left intact curl: (52) Empty reply from server
以下示例使用 IP 地址而不是主机名来验证证书
curl -v --cacert ca.crt https://192.168.99.100:5044
此测试的验证失败,因为证书对于指定的 IP 地址无效。它仅对 logs.mycompany.com
(证书的“主体”字段中出现的主机名)有效。
* Rebuilt URL to: https://192.168.99.100:5044/ * Trying 192.168.99.100... * Connected to 192.168.99.100 (192.168.99.100) port 5044 (#0) * WARNING: using IP address, SNI is being disabled by the OS. * SSL: certificate verification failed (result: 5) * Closing connection 0 curl: (51) SSL: certificate verification failed (result: 5)
有关解决此问题的更多信息,请参阅 故障排除文档。
测试 Winlogbeat 到 Logstash 的连接
编辑如果您正在将 Winlogbeat 作为服务运行,请先停止该服务。然后通过在前景中运行 Winlogbeat 来测试您的设置,以便您可以快速查看发生的任何错误
winlogbeat -c winlogbeat.yml -e -v
任何错误都将打印到控制台。有关解决常见错误的信息,请参阅 故障排除文档。