在CentOS上安全地部署Filebeat涉及多个步骤,包括安装、配置、安全设置和监控。以下是一个详细的指南:
首先,确保你的CentOS系统已经更新到最新版本:
sudo yum update -y
然后,添加Elastic的官方YUM仓库:
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee -a /etc/yum.repos.d/elasticsearch.repo
接下来,安装Filebeat:
sudo yum install filebeat -y
编辑Filebeat的配置文件 /etc/filebeat/filebeat.yml:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
fields:
type: syslog
output.elasticsearch:
hosts: ["localhost:9200"]
ssl.verification_mode: certificate
ssl.certificate_authorities: ["/etc/pki/tls/certs/ca-bundle.crt"]
ssl.certificate: "/etc/pki/tls/certs/filebeat.crt"
ssl.key: "/etc/pki/tls/private/filebeat.key"
setup.template.enabled: false
setup.kibana:
host: "localhost:5601"
为了确保数据传输的安全性,你需要为Filebeat和Elasticsearch配置SSL/TLS。
使用OpenSSL生成自签名证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/filebeat.key -out /etc/pki/tls/certs/filebeat.crt -subj "/CN=filebeat/O=example.com"
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/elasticsearch.key -out /etc/pki/tls/certs/elasticsearch.crt -subj "/CN=elasticsearch/O=example.com"
sudo openssl req -new -x509 -days 365 -nodes -keyout /etc/pki/tls/certs/ca-bundle.crt -out /etc/pki/tls/certs/ca-bundle.crt -subj "/CN=ca/O=example.com"
编辑Elasticsearch的配置文件 /etc/elasticsearch/elasticsearch.yml,添加以下内容:
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12
然后,重启Elasticsearch:
sudo systemctl restart elasticsearch
确保Filebeat的配置文件中包含了SSL/TLS相关的设置,如上文所示。
启动Filebeat服务并设置为开机自启:
sudo systemctl start filebeat
sudo systemctl enable filebeat
确保你有一个监控系统来跟踪Filebeat的状态和性能。你可以使用Elastic Stack(包括Kibana)来监控和分析日志数据。
如果你还没有安装Kibana,可以按照以下步骤进行安装:
sudo yum install kibana -y
编辑Kibana的配置文件 /etc/kibana/kibana.yml,确保它指向正确的Elasticsearch实例:
server.host: "0.0.0.0"
elasticsearch.hosts: ["https://localhost:9200"]
然后,启动Kibana服务并设置为开机自启:
sudo systemctl start kibana
sudo systemctl enable kibana
现在,你应该能够通过浏览器访问 http://your_server_ip:5601 来使用Kibana。
防火墙设置:确保只允许必要的端口(如9200和5601)对外开放。
sudo firewall-cmd --permanent --zone=public --add-port=9200/tcp
sudo firewall-cmd --permanent --zone=public --add-port=5601/tcp
sudo firewall-cmd --reload
SELinux设置:如果你启用了SELinux,可能需要调整相关策略以允许Filebeat和Elasticsearch的正常运行。
通过以上步骤,你应该能够在CentOS上安全地部署Filebeat,并确保数据传输的安全性。