通过 API 密钥保护 filebeat 与 logstash 的连接
Securing filebeat connection to logstash through API Key
是否可以使用某种令牌来保护 filebeat 和 logstash 之间的通信?
我知道可以通过 HTTPS 相互身份验证保护 filebeat --> logstash 连接,但我觉得如果我们有许多不同的 filebeat 客户端,它们很难管理(证明我错了,我会很高兴改变主意)。
我也知道可以使用 API 密钥保护 logstash --> 弹性连接,但这不是我需要的,我需要从 filebeat 到 logstash 的安全。
用例
我正在为日志分析设置一个集中式 ELK 堆栈,用于从各种不同的系统收集日志,一些可能是实际的服务器,大多数是开发人员的工作站。
我想设置一个系统,开发人员可以在其中登录安全的内部服务,请求令牌,并立即从 her/his 工作站开始流式传输日志。
如果检测到违规,我希望它是一个简单的过程:它应该足以使之前泄露的令牌失效并发布一个新令牌,然后从 ES 中删除流式传输的不需要的日志条目泄露的令牌。
这是不可能的,确保 filebeat 和 logstash 之间通信安全的唯一方法是使用 SSL certificates。
如果您将 filebeat 日志直接发送到 elasticsearch,那么您可以获得的最接近您想要的结果,那么您将能够要使用 API key,这需要在 elasticsearch 中启用安全性。
在这两种情况下,您都需要为开发人员的工作站配置 filebeat.yml 文件。
是否可以使用某种令牌来保护 filebeat 和 logstash 之间的通信?
我知道可以通过 HTTPS 相互身份验证保护 filebeat --> logstash 连接,但我觉得如果我们有许多不同的 filebeat 客户端,它们很难管理(证明我错了,我会很高兴改变主意)。
我也知道可以使用 API 密钥保护 logstash --> 弹性连接,但这不是我需要的,我需要从 filebeat 到 logstash 的安全。
用例
我正在为日志分析设置一个集中式 ELK 堆栈,用于从各种不同的系统收集日志,一些可能是实际的服务器,大多数是开发人员的工作站。
我想设置一个系统,开发人员可以在其中登录安全的内部服务,请求令牌,并立即从 her/his 工作站开始流式传输日志。
如果检测到违规,我希望它是一个简单的过程:它应该足以使之前泄露的令牌失效并发布一个新令牌,然后从 ES 中删除流式传输的不需要的日志条目泄露的令牌。
这是不可能的,确保 filebeat 和 logstash 之间通信安全的唯一方法是使用 SSL certificates。
如果您将 filebeat 日志直接发送到 elasticsearch,那么您可以获得的最接近您想要的结果,那么您将能够要使用 API key,这需要在 elasticsearch 中启用安全性。
在这两种情况下,您都需要为开发人员的工作站配置 filebeat.yml 文件。