CentOS Filebeat如何配置SSL加密传输

在CentOS上配置Filebeat以使用SSL加密传输数据到Elasticsearch集群，可以确保数据在传输过程中的安全性。以下是详细的步骤指南：

1. 安装Filebeat

首先，确保你已经安装了Filebeat。如果还没有安装，可以使用以下命令进行安装：

sudo yum install filebeat

2. 配置Filebeat

编辑Filebeat的配置文件 /etc/filebeat/filebeat.yml，添加或修改以下配置项以启用SSL加密传输。

2.1 配置Elasticsearch输出

在 filebeat.yml 文件中找到 output.elasticsearch 部分，并添加以下配置：

output.elasticsearch:
  hosts: ["https://your_elasticsearch_host:9200"]
  ssl.verification_mode: "full"
  ssl.certificate_authorities: ["/etc/filebeat/certs/ca.crt"]
  ssl.certificate: "/etc/filebeat/certs/client.crt"
  ssl.key: "/etc/filebeat/certs/client.key"

• hosts: 替换为你的Elasticsearch集群的主机和端口。
• ssl.verification_mode: 设置为 "full" 以启用完整的SSL验证。
• ssl.certificate_authorities: 指向CA证书文件的路径。
• ssl.certificate: 指向客户端证书文件的路径。
• ssl.key: 指向客户端私钥文件的路径。

2.2 配置证书和密钥

确保你已经生成了所需的证书和密钥文件，并将它们放置在 /etc/filebeat/certs/ 目录下。

• CA证书 (ca.crt): 用于验证Elasticsearch服务器的证书。
• 客户端证书 (client.crt): 用于Filebeat与Elasticsearch之间的双向认证。
• 客户端密钥 (client.key): 与客户端证书对应的私钥。

你可以使用OpenSSL生成这些证书和密钥：

# 生成CA证书
openssl req -x509 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3650 -nodes

# 生成Elasticsearch服务器证书
openssl req -newkey rsa:4096 -keyout elasticsearch.key -out elasticsearch.crt -days 3650 -nodes -subj "/CN=your_elasticsearch_host"

# 生成客户端证书
openssl req -newkey rsa:4096 -keyout client.key -out client.crt -days 3650 -nodes -subj "/CN=filebeat_client"

# 创建PKCS#12格式的文件
openssl pkcs12 -export -in elasticsearch.crt -inkey elasticsearch.key -out elasticsearch.p12 -name elasticsearch
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name filebeat_client

# 将PKCS#12文件转换为PEM格式
openssl pkcs12 -in elasticsearch.p12 -clcerts -nokeys -out elasticsearch.pem
openssl pkcs12 -in client.p12 -clcerts -nokeys -out client.pem

# 将PEM文件拆分为证书和密钥
openssl x509 -in elasticsearch.pem -out elasticsearch.crt -outform PEM
openssl rsa -in elasticsearch.key -out elasticsearch.key -outform PEM

openssl x509 -in client.pem -out client.crt -outform PEM
openssl rsa -in client.key -out client.key -outform PEM

3. 重启Filebeat

保存配置文件并重启Filebeat服务以应用更改：

sudo systemctl restart filebeat

4. 验证配置

确保Filebeat能够成功连接到Elasticsearch，并且数据通过SSL加密传输。你可以查看Filebeat的日志文件 /var/log/filebeat/filebeat 以获取更多信息。

sudo tail -f /var/log/filebeat/filebeat

通过以上步骤，你应该能够成功配置Filebeat以使用SSL加密传输数据到Elasticsearch集群。