[Kibana]如何支持携带身份信息的请求到Elasticsearch服务器

最新推荐文章于 2023-02-19 16:23:19 发布
最新推荐文章于 2023-02-19 16:23:19 发布
阅读量1.3k 收藏
点赞数
分类专栏: ELK 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24129617/article/details/54783008
版权

在上一篇文章里面,我们已经为Kibana服务器添加了带有表单验证的安全措施,作为下一环节,我们需要把用户验证的安全信息传递给ES服务器,以为后续基于ES上开发 RBAC(基于角色的访问控制)和IP ACL安全过滤系统打下基础。

对于ELK整体安全解决方案个人总结下来有以下几类:

  1. X-PACK(SHIELD)
    官方出品,可以保护Kibana,ES,以及Logstash的验证。控制颗粒可以达到Node,Index,设置Field。使用Elastic Cloud包含在订阅内的价格是$45一个月
  2. NGINX反向代理
    使用Nginx给Kibana,ES做HTTP的反向代理服务,并且完全依赖于Nginx的Basic验证机制以及LUA脚本来实现角色控制访问,控制颗粒度没有x-pack那么细致,在实际运维中,所有配置由系统管理员控制,无法下放到ELK管理员手中。
  3. SEARCHGUARD
    第三方ES插件以替代X-pack完整功能,并且在免费版本中即提供Basic 身份验证,基于角色的Index,alias的访问控制,并且可以和Kibana以及Logstash集成,但是只会在收费版本中提供LDAP验证的支持

个人觉得一个完整的ELK的安全套件需要拥有以下这些特性:

  • 完整端到端的安全控制,包括ELK的各个环节。
  • 用户验证,支持LDAP的验证,提供表单验证体验。
  • 角色授权,可以支持到Indices,Alias,Field以及各种ES管理接口的控制。
  • 提供Kibana到ES的代理客户端的登录安全穿透,不使用特权账号访问后台数据。
  • 配置管理由ELK管理员管理,而不假手于其他人。
  • 提供审计功能。

言归正传,我们来看下Kibana到底是如何来和ES打交道的

const elasticsearch = require('elasticsearch');
...........
options = _.defaults(options || {}, {
      url: config.get('elasticsearch.url'),
      username: config.get('elasticsearch.username'),
      password: config.get('elasticsearch.password'),
      verifySsl: config.get('elasticsearch.ssl.verify'),
      clientCrt: config.get('elasticsearch.ssl.cert'),
      clientKey: config.get('elasticsearch.ssl.key'),
      ca: config.get('elasticsearch.ssl.ca'),
      apiVersion: config.get('elasticsearch.apiVersion'),
      pingTimeout: config.get('elasticsearch.pingTimeout'),
      requestTimeout: config.get('elasticsearch.requestTimeout'),
      keepAlive: true,
      auth: true
    });

    ...........
let authorization;
    if (options.auth && options.username && options.password) {
      uri.auth = util.format('%s:%s', options.username, options.password);
    }
    ....................
return new elasticsearch.Client({
      host,
      ssl,
      plugins: options.plugins,
      apiVersion: options.apiVersion,
      keepAlive: options.keepAlive,
      pingTimeout: options.pingTimeout,
      requestTimeout: options.requestTimeout,
      log: function () {
        this.error = function (err) {
          server.log(['error', 'elasticsearch'], err);
        };
        this.warning = function (message) {
          server.log(['warning', 'elasticsearch'], message);
        };
        this.info = _.noop;
        this.debug = _.noop;
        this.trace = _.noop;
        this.close = _.noop;
      }
    });

可以看出,在Kibana服务器启动的时候,系统会全局初始化elasticsearch.Client的对象,如果在kibana的配置文件中,配置了elasticsearch.username 和 elasticsearch.password,系统会以标准的Http 验证头的格式访问ES URL,如:http://username:password@example.com/ ,这里能够为我们提供全局性验证信息。

再次细化,Kibana并不是完全依赖于Node的ES客户端完成数据的交互,它还使用了直接HTTP请求的,由客户端直接穿透到ES服务器端进行搜索操作。

下图是在Kibana上进行数据浏览的时候,客户端发出的一个请求,我们发现客户端组发出了一个 /_msearch ES endpoint请求

这里写图片描述

回到系统初始化阶段,我们发现Kiaban为 /_msearch端点设置了代理类

init(server, options) {
      const kibanaIndex = server.config().get('kibana.index');

      // Expose the client to the server
      exposeClient(server);
      createProxy(server, 'GET', '/{paths*}');
      createProxy(server, 'POST', '/_mget');
      createProxy(server, 'POST', '/{index}/_search');
      createProxy(server, 'POST', '/{index}/_field_stats');
      createProxy(server, 'POST', '/_msearch');
      createProxy(server, 'POST', '/_search/scroll');
........

const options = {
    method: method,
    path: createProxy.createPath(route),
    config: {
      timeout: {
        socket: server.config().get('elasticsearch.requestTimeout')
      }
    },
    handler: {
      proxy: {
        mapUri: mapUri(server),
        agent: createAgent(server),
        xforward: true,
        timeout: server.config().get('elasticsearch.requestTimeout'),
        onResponse: function (err, responseFromUpstream, request, reply) {
          reply(err, responseFromUpstream);
        }
      }
    },
  };

我们只需要把之前表单验证后的Basic Authentication 携带给ES就可以完美实现注入验证信息:

let customHeaders = {} ;
    //console.log(customHeaders);
    if(request.auth.isAuthenticated){
        console.log('credentials:'+ request.auth.credentials);
        customHeaders = setHeaders(headers, assign({},config.get('elasticsearch.customHeaders'),  {'authorization': request.auth.credentials}));
    }
    else
    {
      customHeaders = setHeaders(headers, config.get('elasticsearch.customHeaders'));
    }

我们分别使用两个账号登录到Kibana系统,进行ES的查询交互

这里写图片描述

这里写图片描述

最后使用Wire shark来抓包看看是否如同我们所需要的结果:

这里写图片描述

这里写图片描述

可以看出ES完美接收到客户端传递给它的Basic身份信息,接下来的事情就交给Elasticsearch吧!~

Wade Liang
关注
专栏目录
Spring Boot进阶(19):探索ElasticSearch:如何利用Spring Boot轻松实现高效数据搜索与分析
**My Coding Family**
03-14 4106
SpringBoot如何集成ElasticSearch,你不会我教你呀~~
Elasticsearch
weixin_55261016的博客
06-15 720
ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。 本课程从分别对三个组件经行详细介绍,尤其是Elasticsearch,因为它是elk的核心。本课程从es底层对文档、索引、搜索、聚合、集群经行介绍,从搜索和聚合分析实例来展现es的魅力。Logstash从内部如何采集
ajax登录后在首页显示用户名_Nginx+Kibana+ElasticSearch“免密登录”
weixin_42137539的博客
01-14 542
之前,搭建了一套ELK系统,主要用于日志分析。权限控制使用的是SearchGuard插件(主要是X-Pack收费,只得用SearchGuard来做替代了)。最近,打算在某个Web应用中嵌入Kibana制作的数据图表,但是遇到了一个问题,就是通过Kibanas生成的iframe,放到Web应用中后,加载数据报表时,会要求登录Kibana。但是,Web系统本身就有一套用户权限的登录系统,这样,就会造成...
使用kibana本地连接服务器es
qq_40708942的博客
08-05 8031
Kibana 是一种数据可视化和挖掘工具,可以用于日志和时间序列分析、应用程序监控和运营智能使用案例.它还提供了与Elasticsearch的紧密集成,使之成为了可视化 Elasticsearch 中存储数据的默认之选.
kibana restful api 请求 elasticsearch 增删改查
wade1010的专栏
10-13 398
版本 7.5.0 创建索引 PUT /test 获取索引 GET /test 删除索引 DELETE /test 添加数据 PUT /test/_doc/1 { "name":"bob", "age":19, "sex":"男" } 添加数据自动生成_id POST /test/_doc { "name":"bob", "age":19, "sex":"男" } 返回结果 { "_index" : "test", "_type" : "_doc", "_id"
ELK系列(二)、在Kibana中使用RESTful操作ES库
王义凯 的博客
05-20 4321
上一篇讲了如何安装ELK: ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.7.0 ----------------------------------------------------------------------------------------- 这篇介绍如何使用kibana连接ES并操作,下面先上代码,明天来更新。。 #建库 PUT /noah PUT /noah.no #查看某库属性 GET /noah/_setting
Elasticsearch-通过Kibana查看索引数据
热门推荐
weixin_33719619的博客
10-10 1万+
引言   当数据存储到Elasticsearch后,我们希望能方便的通过界面进行查询,有两个工具能够满足我们的需要,一个是Elasticsearch-head插件,另一个是Kibana,笔者认为两个工具各有千秋,大家可以自行体会,不过就安装步骤来说,Elasticsearch-head真心麻烦,本文主要介绍...
ElasticSearch基础
最新发布
MR_T3的博客
02-19 970
ElasticSearch基础知识与使用
ElasticSearch详细笔记( 从入门到入土)
GOV_D的博客
04-18 3325
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录1.ElasticSearch概述1.1 Elasticsearch 是什么1.2 全文搜索引擎1.3 Elasticsearch And Solr2. ElasticSearch安装2.1 下载和安装2.2 可能存在的问题2.3 RESTful3. ES的基本使用3.1 数据格式3.2 分片概念3.3 索引操作(1)创建索引(2) 查看所有索引(3) 查看单个索引(4) 删除索引3.4 文档操作(1)创建文档(2) 查.
Elasticsearch笔记基础入门
weixin_72753070的博客
07-29 245
并不能保证通过这四篇文章让你掌握ES,但是!我会用大白话串讲ES的一些概念、和花哨的玩法。起码可以把你对Elasticsearch的陌生度降到最低,等有一天你自己业务需要使用ES时,会因为提前读了ES笔记而快速上手。...
ElasticSearch 5学习(1)——安装ElasticsearchKibana和X-Pack
weixin_30530523的博客
12-09 159
安装准备: 安装Elasticsearch唯一的要求是安装官方新版的Java,包括对应的Jdk。 安装Elasticsearch 首先到官网下载最新版本的Elasticsearch压缩包。 可以使用命令,注意将最新的可用的下载链接填入: curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.0...
elasticsearch图形化工具Kibana配置,源自官网-谷歌翻译
进行中
04-10 1007
Kibana配置 server.port: 默认值:5601Kibana由后端服务器提供服务。此设置指定要使用的端口。 server.host: 默认值:“localhost”此设置指定后端服务器的主机。 server.basePath: 如果您在代理后面运行,则可以指定安装Kibana的路径。这只会影响Kibana生成的URL,您的代理应该在将请求转发给Kibana之前删除base...
ES常见问题
weixin_44024436的博客
03-20 5169
目录 1.修改某个索引的分片数 2.es 写入超时 3.重索引 4.es常用命令 5.华为云es开启安全模式,客户端使用方法 6.运维的一些命令 7.新加Es节点操作 8.由tranlog引起的文件句柄过多问题解决 1.修改某个索引的分片数 #其中, index_patterns 表示要匹配的索引名 #"order": 1 ,这个值,在的会overwite小的值,eg: 默认的es_tempate一般我们都配置为0,这个什为1,那个这值里面的所以参数都会overwirte 值为0的参数
Kibana配置项
IT云清
07-04 3822
server.port: 默认值: 5601 Kibana 由后端服务器提供服务,该配置指定使用的端口号。 server.host: 默认值: “localhost” 指定后端服务器的主机地址。 server.basePath: 如果启用了代理,指定 Kibana 的路径,该配置项只影响 Kibana 生成的 URLs,转发请求Kibana 时代理会移除基础路径值,该配置项不能以斜杠...
Kibana的安装&整合ElasticSearch
weixin_39555954的博客
12-01 2560
Kibana是一个开源分析和可视化平台,旨在与 Elasticsearch 配合使用。您可以使用 Kibana 搜索、查看存储在 Elasticsearch 索引中的数据并与之交互。您可以轻松地执行高级数据分析并在各种图表、表格和地图中可视化您的数据。 传统方式 1、下载kibana https://artifacts.elastic.co/downloads/kibana/kibana-7.15.2-linux-x86_64.tar.gz 2、解压缩移动重命名 [root@bo...
kibana 应用到内部管控环境问题排查
123
05-12 438
启动kibana 遇到报错信息: Administrators should consult the Kibana logs for more details. 方式1:如果ES集群启用了用户名和密码认证 则配置kibana.yml elasticsearch.username: "name" elasticsearch.password: "password" 方式2:设置elasticsearch.customHeaders,其中authorization是通过 username,pa.
Kibana】如何优雅的提交数据并且避免系统的跨域检查
qq_24129617的博客
01-26 4074
在开发Kibana 4.x的验证插件模块的时候,遇到一个问题是当使用POST的方式提交表单数据时,会引起Kibana服务器的跨域检查机制,从而收到如下错误: {"statusCode":400,"error":"Bad Request","message":"Missing kbn-version header"} 当前开发环境下如下: kibana 服务器版本:4.6.4 Kibana
KibanaElasticsearch允许外网访问
小美哥的博客
05-12 5825
ElasticSearch(下文简称ES)是一个基于Lucene的搜索服务器,它提供了一个分布式多用户能力的全文搜索引擎。Kibana则是一款开源的分析与可视化平台,可以用来与ES进行交互,通过可视化界面来查看和操作ES中的数据。默认情况下这两个软件只允许通过本机localhost访问。本文分享如何通过设置使得这两者可以被同一网络中的其他机器访问。 我们先看一下在使用默认设置时,当我们尝试通...
kibana基础入门&快速部署kibana,并配置外网可以访问
peng_0129的博客
01-14 4716
Kibana 是一个开源的分析和可视化平台,旨在与 Elasticsearch 合作。Kibana 提供搜索、查看和与存储在 Elasticsearch 索引中的数据进行交互的功能。开发者或运维人员可以轻松地执行高级数据分析,并在各种图表、表格和地图中可视化数据。   阿里云下载安装kibana                    wget https://artifacts.elasti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值