- Elasticsearch 指南其他版本
- 8.17 中的新功能
- Elasticsearch 基础
- 快速入门
- 设置 Elasticsearch
- 升级 Elasticsearch
- 索引模块
- 映射
- 文本分析
- 索引模板
- 数据流
- 摄取管道
- 别名
- 搜索您的数据
- 重新排名
- 查询 DSL
- 聚合
- 地理空间分析
- 连接器
- EQL
- ES|QL
- SQL
- 脚本
- 数据管理
- 自动缩放
- 监视集群
- 汇总或转换数据
- 设置高可用性集群
- 快照和还原
- 保护 Elastic Stack 的安全
- Watcher
- 命令行工具
- elasticsearch-certgen
- elasticsearch-certutil
- elasticsearch-create-enrollment-token
- elasticsearch-croneval
- elasticsearch-keystore
- elasticsearch-node
- elasticsearch-reconfigure-node
- elasticsearch-reset-password
- elasticsearch-saml-metadata
- elasticsearch-service-tokens
- elasticsearch-setup-passwords
- elasticsearch-shard
- elasticsearch-syskeygen
- elasticsearch-users
- 优化
- 故障排除
- 修复常见的集群问题
- 诊断未分配的分片
- 向系统中添加丢失的层
- 允许 Elasticsearch 在系统中分配数据
- 允许 Elasticsearch 分配索引
- 索引将索引分配过滤器与数据层节点角色混合,以在数据层之间移动
- 没有足够的节点来分配所有分片副本
- 单个节点上索引的分片总数已超过
- 每个节点的分片总数已达到
- 故障排除损坏
- 修复磁盘空间不足的数据节点
- 修复磁盘空间不足的主节点
- 修复磁盘空间不足的其他角色节点
- 启动索引生命周期管理
- 启动快照生命周期管理
- 从快照恢复
- 故障排除损坏的存储库
- 解决重复的快照策略失败问题
- 故障排除不稳定的集群
- 故障排除发现
- 故障排除监控
- 故障排除转换
- 故障排除 Watcher
- 故障排除搜索
- 故障排除分片容量健康问题
- 故障排除不平衡的集群
- 捕获诊断信息
- REST API
- API 约定
- 通用选项
- REST API 兼容性
- 自动缩放 API
- 行为分析 API
- 紧凑和对齐文本 (CAT) API
- 集群 API
- 跨集群复制 API
- 连接器 API
- 数据流 API
- 文档 API
- 丰富 API
- EQL API
- ES|QL API
- 功能 API
- Fleet API
- 图表探索 API
- 索引 API
- 别名是否存在
- 别名
- 分析
- 分析索引磁盘使用量
- 清除缓存
- 克隆索引
- 关闭索引
- 创建索引
- 创建或更新别名
- 创建或更新组件模板
- 创建或更新索引模板
- 创建或更新索引模板(旧版)
- 删除组件模板
- 删除悬挂索引
- 删除别名
- 删除索引
- 删除索引模板
- 删除索引模板(旧版)
- 存在
- 字段使用情况统计信息
- 刷新
- 强制合并
- 获取别名
- 获取组件模板
- 获取字段映射
- 获取索引
- 获取索引设置
- 获取索引模板
- 获取索引模板(旧版)
- 获取映射
- 导入悬挂索引
- 索引恢复
- 索引段
- 索引分片存储
- 索引统计信息
- 索引模板是否存在(旧版)
- 列出悬挂索引
- 打开索引
- 刷新
- 解析索引
- 解析集群
- 翻转
- 收缩索引
- 模拟索引
- 模拟模板
- 拆分索引
- 解冻索引
- 更新索引设置
- 更新映射
- 索引生命周期管理 API
- 推理 API
- 信息 API
- 摄取 API
- 许可 API
- Logstash API
- 机器学习 API
- 机器学习异常检测 API
- 机器学习数据帧分析 API
- 机器学习训练模型 API
- 迁移 API
- 节点生命周期 API
- 查询规则 API
- 重新加载搜索分析器 API
- 存储库计量 API
- 汇总 API
- 根 API
- 脚本 API
- 搜索 API
- 搜索应用程序 API
- 可搜索快照 API
- 安全 API
- 身份验证
- 更改密码
- 清除缓存
- 清除角色缓存
- 清除权限缓存
- 清除 API 密钥缓存
- 清除服务帐户令牌缓存
- 创建 API 密钥
- 创建或更新应用程序权限
- 创建或更新角色映射
- 创建或更新角色
- 批量创建或更新角色 API
- 批量删除角色 API
- 创建或更新用户
- 创建服务帐户令牌
- 委托 PKI 身份验证
- 删除应用程序权限
- 删除角色映射
- 删除角色
- 删除服务帐户令牌
- 删除用户
- 禁用用户
- 启用用户
- 注册 Kibana
- 注册节点
- 获取 API 密钥信息
- 获取应用程序权限
- 获取内置权限
- 获取角色映射
- 获取角色
- 查询角色
- 获取服务帐户
- 获取服务帐户凭据
- 获取安全设置
- 获取令牌
- 获取用户权限
- 获取用户
- 授予 API 密钥
- 具有权限
- 使 API 密钥失效
- 使令牌失效
- OpenID Connect 准备身份验证
- OpenID Connect 身份验证
- OpenID Connect 注销
- 查询 API 密钥信息
- 查询用户
- 更新 API 密钥
- 更新安全设置
- 批量更新 API 密钥
- SAML 准备身份验证
- SAML 身份验证
- SAML 注销
- SAML 失效
- SAML 完成注销
- SAML 服务提供商元数据
- SSL 证书
- 激活用户配置文件
- 禁用用户配置文件
- 启用用户配置文件
- 获取用户配置文件
- 建议用户配置文件
- 更新用户配置文件数据
- 具有用户配置文件权限
- 创建跨集群 API 密钥
- 更新跨集群 API 密钥
- 快照和还原 API
- 快照生命周期管理 API
- SQL API
- 同义词 API
- 文本结构 API
- 转换 API
- 使用情况 API
- Watcher API
- 定义
- 迁移指南
- 发行说明
- Elasticsearch 版本 8.17.0
- Elasticsearch 版本 8.16.1
- Elasticsearch 版本 8.16.0
- Elasticsearch 版本 8.15.5
- Elasticsearch 版本 8.15.4
- Elasticsearch 版本 8.15.3
- Elasticsearch 版本 8.15.2
- Elasticsearch 版本 8.15.1
- Elasticsearch 版本 8.15.0
- Elasticsearch 版本 8.14.3
- Elasticsearch 版本 8.14.2
- Elasticsearch 版本 8.14.1
- Elasticsearch 版本 8.14.0
- Elasticsearch 版本 8.13.4
- Elasticsearch 版本 8.13.3
- Elasticsearch 版本 8.13.2
- Elasticsearch 版本 8.13.1
- Elasticsearch 版本 8.13.0
- Elasticsearch 版本 8.12.2
- Elasticsearch 版本 8.12.1
- Elasticsearch 版本 8.12.0
- Elasticsearch 版本 8.11.4
- Elasticsearch 版本 8.11.3
- Elasticsearch 版本 8.11.2
- Elasticsearch 版本 8.11.1
- Elasticsearch 版本 8.11.0
- Elasticsearch 版本 8.10.4
- Elasticsearch 版本 8.10.3
- Elasticsearch 版本 8.10.2
- Elasticsearch 版本 8.10.1
- Elasticsearch 版本 8.10.0
- Elasticsearch 版本 8.9.2
- Elasticsearch 版本 8.9.1
- Elasticsearch 版本 8.9.0
- Elasticsearch 版本 8.8.2
- Elasticsearch 版本 8.8.1
- Elasticsearch 版本 8.8.0
- Elasticsearch 版本 8.7.1
- Elasticsearch 版本 8.7.0
- Elasticsearch 版本 8.6.2
- Elasticsearch 版本 8.6.1
- Elasticsearch 版本 8.6.0
- Elasticsearch 版本 8.5.3
- Elasticsearch 版本 8.5.2
- Elasticsearch 版本 8.5.1
- Elasticsearch 版本 8.5.0
- Elasticsearch 版本 8.4.3
- Elasticsearch 版本 8.4.2
- Elasticsearch 版本 8.4.1
- Elasticsearch 版本 8.4.0
- Elasticsearch 版本 8.3.3
- Elasticsearch 版本 8.3.2
- Elasticsearch 版本 8.3.1
- Elasticsearch 版本 8.3.0
- Elasticsearch 版本 8.2.3
- Elasticsearch 版本 8.2.2
- Elasticsearch 版本 8.2.1
- Elasticsearch 版本 8.2.0
- Elasticsearch 版本 8.1.3
- Elasticsearch 版本 8.1.2
- Elasticsearch 版本 8.1.1
- Elasticsearch 版本 8.1.0
- Elasticsearch 版本 8.0.1
- Elasticsearch 版本 8.0.0
- Elasticsearch 版本 8.0.0-rc2
- Elasticsearch 版本 8.0.0-rc1
- Elasticsearch 版本 8.0.0-beta1
- Elasticsearch 版本 8.0.0-alpha2
- Elasticsearch 版本 8.0.0-alpha1
- 依赖项和版本
内置用户
编辑内置用户
编辑Elastic Stack 安全功能提供了内置用户凭据,以帮助您快速启动和运行。这些用户拥有一组固定的权限,并且在设置密码之前无法进行身份验证。 elastic 用户可用于设置所有内置用户密码。
在 Elastic Cloud 上,操作员权限已启用。即使某个角色允许用户完成管理任务,这些权限也会限制某些基础设施功能。
-
elastic -
一个内置超级用户。
任何可以以
elastic用户身份登录的人都拥有对受限索引(如.security)的直接只读访问权限。此用户还能够管理安全性并创建具有无限权限的角色。 -
kibana_system - Kibana 用于连接和与 Elasticsearch 通信的用户。
-
logstash_system - Logstash 在 Elasticsearch 中存储监视信息时使用的用户。
-
beats_system - Beats 在 Elasticsearch 中存储监视信息时使用的用户。
-
apm_system - APM 服务器在 Elasticsearch 中存储监视信息时使用的用户。
-
remote_monitoring_user - Metricbeat 在 Elasticsearch 中收集和存储监视信息时使用的用户。它具有
remote_monitoring_agent和remote_monitoring_collector内置角色。
内置用户的工作原理
编辑这些内置用户存储在由 Elasticsearch 管理的特殊 .security 索引中。如果禁用内置用户或其密码发生更改,则该更改会自动反映在集群中的每个节点上。但是,如果您的 .security 索引被删除或从快照还原,则您已应用的所有更改都将丢失。
尽管它们共享相同的 API,但内置用户与由本地领域管理的用户是分开且不同的。禁用本地领域不会对内置用户产生任何影响。可以使用禁用用户 API 单独禁用内置用户。
Elastic 引导密码
编辑当您安装 Elasticsearch 时,如果 elastic 用户尚未设置密码,它将使用默认的引导密码。引导密码是一种临时密码,使您能够运行用于设置所有内置用户密码的工具。
默认情况下,引导密码是从一个随机的 keystore.seed 设置派生的,该设置在安装期间添加到密钥库中。您无需知道或更改此引导密码。但是,如果您在密钥库中定义了 bootstrap.password 设置,则会改用该值。有关与密钥库交互的更多信息,请参阅安全设置。
在您设置内置用户的密码后,特别是对于 elastic 用户,则不再需要引导密码。
设置内置用户密码
编辑您必须为所有内置用户设置密码。
elasticsearch-setup-passwords 工具是首次设置内置用户密码的最简单方法。它使用 elastic 用户的引导密码来运行用户管理 API 请求。例如,您可以以“交互式”模式运行该命令,该模式会提示您为 elastic、kibana_system、logstash_system、beats_system、apm_system 和 remote_monitoring_user 用户输入新密码。
bin/elasticsearch-setup-passwords interactive
有关命令选项的更多信息,请参阅 elasticsearch-setup-passwords。
在您为 elastic 用户设置密码后,引导密码将不再有效;您不能第二次运行 elasticsearch-setup-passwords 命令。
或者,您可以使用 Kibana 中的管理 > 用户页面或更改密码 API来设置内置用户的初始密码。这些方法更复杂。您必须提供 elastic 用户及其引导密码才能登录到 Kibana 或运行 API。此要求意味着您不能使用从 keystore.seed 设置派生的默认引导密码。相反,您必须在启动 Elasticsearch 之前在密钥库中显式设置 bootstrap.password 设置。例如,以下命令会提示您输入新的引导密码
bin/elasticsearch-keystore add "bootstrap.password"
然后,您可以启动 Elasticsearch 和 Kibana,并使用 elastic 用户和引导密码登录到 Kibana 并更改密码。或者,您可以为每个内置用户提交“更改密码 API”请求。这些方法更适合在初始设置完成后更改密码,因为此时不再需要引导密码。
将内置用户密码添加到 Kibana
编辑设置 kibana_system 用户密码后,您需要通过在 kibana.yml 配置文件中设置 elasticsearch.password 来使用新密码更新 Kibana 服务器
elasticsearch.password: kibanapassword
请参阅 在 Kibana 中配置安全性。
将内置用户密码添加到 Logstash
编辑当 Logstash 启用监视时,会在 Logstash 内部使用 logstash_system 用户。
要在 Logstash 中启用此功能,您需要通过在 logstash.yml 配置文件中设置 xpack.monitoring.elasticsearch.password 来使用新密码更新 Logstash 配置
xpack.monitoring.elasticsearch.password: logstashpassword
如果您是从旧版本的 Elasticsearch 升级的,出于安全原因,logstash_system 用户可能默认设置为禁用。更改密码后,您可以通过以下 API 调用启用该用户
resp = client.security.enable_user( username="logstash_system", ) print(resp)
const response = await client.security.enableUser({ username: "logstash_system", }); console.log(response);
PUT _security/user/logstash_system/_enable
请参阅 为 Logstash 监视配置凭据。
将内置用户密码添加到 Beats
编辑当 Beats 启用监视时,会在 Beats 内部使用 beats_system 用户。
要在 Beats 中启用此功能,您需要更新每个 beats 的配置,以引用正确的用户名和密码。例如
xpack.monitoring.elasticsearch.username: beats_system xpack.monitoring.elasticsearch.password: beatspassword
例如,请参阅监视 Metricbeat。
当 Metricbeat 收集和存储 Elastic Stack 的监视数据时,将使用 remote_monitoring_user。请参阅生产环境中的监视。
如果您是从旧版本的 Elasticsearch 升级的,则您可能尚未为 beats_system 或 remote_monitoring_user 用户设置密码。如果出现这种情况,则应使用 Kibana 中的管理 > 用户页面或更改密码 API来为这些用户设置密码。
将内置用户密码添加到 APM
编辑当启用监视时,会在 APM 内部使用 apm_system 用户。
要在 APM 中启用此功能,您需要更新 apm-server.yml 配置文件,以引用正确的用户名和密码。例如
xpack.monitoring.elasticsearch.username: apm_system xpack.monitoring.elasticsearch.password: apmserverpassword
如果您是从旧版本的 Elasticsearch 升级的,则您可能尚未为 apm_system 用户设置密码。如果出现这种情况,则应使用 Kibana 中的管理 > 用户页面或更改密码 API来为这些用户设置密码。
禁用默认密码功能
编辑此设置已弃用。elastic 用户不再具有默认密码。必须先设置密码才能使用该用户。请参阅Elastic 引导密码。
On this page