授予监控所需的权限和角色
编辑授予监控所需的权限和角色编辑
Elasticsearch 安全功能为发布和查看监控数据提供了内置用户和角色。发布监控数据所需的权限和角色取决于用于收集该数据的方法。
发布监控数据编辑
Elastic Cloud 用户: 本节不适用于我们的 托管 Elasticsearch Service。在 Elastic Cloud 上,可以通过单击监控面板中的启用按钮来启用监控。
如果您正在使用内部收集来收集有关 APM Server 的指标,则安全功能会提供apm_system 内置用户和apm_system 内置角色来发送监控信息。您可以使用内置用户(如果在您的环境中可用),或者创建一个分配了内置角色的用户,或者创建一个用户并手动分配发送监控信息所需的权限。
如果您使用内置的apm_system用户,请确保在使用之前设置密码。
如果您不使用apm_system用户
-
创建一个名为
apm_monitoring_writer之类的监控角色,该角色具有以下权限类型 权限 目的 索引
对
.monitoring-beats-*索引的create_index在 Elasticsearch 中创建监控索引
索引
对
.monitoring-beats-*索引的create_doc将监控事件写入 Elasticsearch
- 将监控角色分配给需要将监控数据写入 Elasticsearch 的用户。
使用 Metricbeat 收集指标时,无需使用 APM Server 创建任何角色或用户。有关设置 Metricbeat 收集的完整详细信息,请参阅使用 Metricbeat 收集。
如果您正在使用 Metricbeat收集有关 APM Server 的指标,则安全功能会提供remote_monitoring_user 内置用户,以及remote_monitoring_collector和remote_monitoring_agent 内置角色,用于收集和发送监控信息。您可以使用内置用户(如果在您的环境中可用),或者创建一个具有收集和发送监控信息所需权限的用户。
如果您使用内置的remote_monitoring_user用户,请确保在使用之前设置密码。
如果您不使用remote_monitoring_user用户
-
在生产集群上创建一个监控用户,该用户将收集并发送监控信息。将以下角色分配给监控用户
角色 目的 remote_monitoring_collector从 APM Server 收集监控指标
remote_monitoring_agent将监控数据发送到监控集群
查看监控数据编辑
要向用户授予查看监控数据所需的权限,请执行以下操作
-
创建一个名为
apm_monitoring_viewer之类的监控角色,该角色具有以下权限类型 权限 目的 空间
对堆栈监控的
读取权限对 Kibana 中的堆栈监控功能的只读访问权限。
空间
对仪表板的
读取权限对 Kibana 中的仪表板功能的只读访问权限。
-
将监控角色以及以下内置角色分配给需要查看 APM Server 监控数据的用户
角色 目的 monitoring_user授予对 APM Server 监控索引的访问权限