Filebeat在CentOS下的安全设置

以下是Filebeat在CentOS下的安全设置要点：

1. 使用非特权用户运行
   创建专用用户（如elkuser），修改配置文件及日志目录权限，确保仅该用户可访问：

   sudo useradd elkuser  
   sudo chown -R elkuser:elkuser /etc/filebeat /var/lib/filebeat /var/log/filebeat  
   sudo chmod 600 /etc/filebeat/filebeat.yml  
   

2. 启用SSL/TLS加密
   生成证书并配置filebeat.yml，指定证书路径：

   output.elasticsearch:  
     ssl.enabled: true  
     ssl.certificate: "/etc/filebeat/certs/filebeat.crt"  
     ssl.key: "/etc/filebeat/certs/filebeat.key"  
     ssl.certificate_authorities: ["/etc/filebeat/certs/ca.pem"]  
   

3. 配置防火墙规则
   限制Filebeat端口（默认5044）的访问，仅允许可信IP：

   sudo firewall-cmd --permanent --add-port=5044/tcp  
   sudo firewall-cmd --reload  
   

4. 强化系统安全

   • 禁用SELinux（若非必需）：

     sudo setenforce 0  
     sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config  
     

   • 定期更新Filebeat版本，修复安全漏洞。

5. 监控与审计
   监控Filebeat运行状态及日志，及时发现异常：

   sudo systemctl status filebeat  
   tail -f /var/log/filebeat/filebeat.log  
   

注意：部分场景需根据实际需求调整（如保留SELinux时需配置策略），建议结合官方文档细化配置。