使用filebeat进行数据加密传输和区别不同的日志源

最新推荐文章于 2022-08-11 16:51:15 发布
最新推荐文章于 2022-08-11 16:51:15 发布
阅读量458 收藏 1
点赞数
文章标签: 大数据 开发工具
原文链接:https://yq.aliyun.com/articles/412999
版权


这里写图片描述
打开微信扫一扫,关注微信公众号【数据与算法联盟】

转载请注明出处:http://blog.csdn.net/gamer_gyt
博主微博:http://weibo.com/234654758
Github:https://github.com/thinkgamer

写在前边的话

数据在远程传输过程中,可能被劫持和获取,继而造成的后果是数据信息泄露,那么如何有效的进行数据传输呢,在ELK Stack中filebeat 提供了这样的一个解决方案,其不仅可以监听指定文件夹的数据,还可以对数据进行TLS 双向认证加密,从而保证数据传输过程中的可靠性。

环境说明

Ubuntu 16.04
ELK 5.2.1 (elk在192.168.1.127上)
Filebeat 5.2.1 (fb在192.168.1.128上)

Filebeat区别不同的日志源

filebeat.yaml 文件配置如下:

filebeat.prospectors:

# Each - is a prospector. Most options can be set at the prospector level, so
# you can use different prospectors for various configurations.
- input_type: log
  paths:
    - /home/thinkgamer/test/*.log
  document_type: test_log

- input_type: log

  paths:
    - /var/log/*.log
  document_type: auth_log

这里得document_type 就是对应filter中对应的log的type,在logstash的解析文件中可以这样写

input {
    beats {
        port => 5044
    }
}

filter {
    if [type] == 'auth_log'{
    }
    else if [type] == 'test_log'{
     }
}

output {
    elasticsearch {
        hosts => ["http://localhost:9200"]
        index =>"%{type}-%{+YYYY.MM.dd}" 
    }
}

Filebeat传输数据加密

上边基本环境里介绍到logstash和filebeat的ip地址分别为127和128 上,分别在两个机器上生成证书
logstash(127 机器):

cd ~
mkdir -p pki/tls/certs
mkdir -p pki/tls/private
openssl req -subj '/CN=192.168.1.127/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout pki/tls/private/logstash.key -out pki/tls/certs/logstash.crt

配置logstash的input为如下形式:

input {
    beats {
        port => 5044
        ssl => true
        ssl_certificate_authorities => ["/home/thinkgamer/pki/tls/certs/filebeat.crt"]
        ssl_certificate => "/home/thinkgamer/pki/tls/certs/logstash.crt" 
        ssl_key => "/home/thinkgamer/pki/tls/private/logstash.key" 
        ssl_verify_mode => "force_peer" 
    }
}

ssl:true 表示开启 Logstash 的 SSL/TLS 安全通信功能;
ssl_certificate_authorities:配置 Logstash 使其信任所有由该 CA 证书发行的证书;
ssl_certificate & ssl_key:Logstash server 证书和 key 文件。Logstash 使用它们向 Filebeat client 证明自己的可信身份;
ssl_verify_mode:表明 Logstash server 是否验证 Filebeat client 证书。有效值有 peer 或 force_peer。如果是 force_peer,表示如果 Filebeat 没有提供证书,Logstash server 就会关闭连接。

Filebeat(128机器):

cd ~
mkdir -p pki/tls/certs
mkdir -p pki/tls/private
openssl req -subj '/CN=192.168.1.128/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout pki/tls/private/filebeat.key -out pki/tls/certs/filebeat.crt

filebeat.yaml 配置文件中修改output logstash:

output.logstash:
  # The Logstash hosts
  hosts: ["192.168.1.127:5044"]

  # Optional SSL. By default is off.
  # List of root certificates for HTTPS server verifications
  ssl.certificate_authorities: ["/home/master/pki/tls/certs/logstash.crt"]

  # Certificate for SSL client authentication
  ssl.certificate: "/home/master/pki/tls/certs/filebeat.crt" 

  # Client Certificate Key
  ssl.key: "/home/master/pki/tls/private/filebeat.key"

certificate_authorities:CA 证书,即用来签署证书的证书。这里表示配置 Filebeat 使其信任所有由该 CA 证书发行的证书。因为自签名证书的发行者和证书主体相同,所以这里直接使用 Logstash 证书使 Filebeat 信任使用该证书的 Logstash server;
certificate & certificate_key:Filebeat 证书和 key 文件。Filebeat 将使用它们向 Logstash server 证明自己的可信身份。

至此配置over了,在两个机器上分别启动logstash和filebeat,报错如下:

cannot validate certificate for 10.10.11.109 because it doesn't contain any IP SANs

解决办法参考下边《遇到的问题和解决办法》

遇到的问题和解决办法

在配置好证书之后启动filebeat和logstash,filebeat并不能将数据传输给logstash,报出了下边的错误

cannot validate certificate for 10.10.11.109 because it doesn't contain any IP SANs

解决办法是:
删除之前产生的证书,对openssl进行重新配置

sudo vim /etc/ssl/openssl.cnf

找到 [ v3_ca ]
加入下边一行:

subjectAltName = IP:这里写ip地址

比如我的两个机器便为:

subjectAltName = IP:192.168.1.127
subjectAltName = IP:192.168.1.128

重新生成证书,进行copy 配置即可

加密多个日志源问题

在生产环境中有多个日志源这是个很常见的问题,那么如果我们需要对多个日志源的数据进行加密传输时该怎么办呢?
答案是肯定得,这里有多种解决办法
1:每个filebeat分别发送到logstash监听的不同端口,比如说Filebeat A 发送到logstash的 5044端口,Filebeat B发送到logstash的5045 端口,这样做肯定是没有任何问题的
input 的输入是类似于下面这样的

input {
    beats {
        port => 5044
    }
    beats {
        port => 5044
    }
}

2:每个filebeat所在的机器都发送到logstash 的5044 端口,这样做在没有加密保护的情况下也是可以的(已经尝试过了),那如果是在加密的情况下该怎么做呢?是否能成功呢?

回答:当然是可以的,用同样的方法在另外一台安装filebeat的机器上生成证书,和logstash所在的机器进行证书的互相copy和配置,logstash的机器的input差不多应该是下面的这种

input {
    beats {
        port => 5044
        ssl => true
        ssl_certificate_authorities => ["/home/thinkgamer/pki/tls/certs/filebeat.crt","/home/thinkgamer/pki/tls/certs/filebeat1.crt"]
        ssl_certificate => "/home/thinkgamer/pki/tls/certs/logstash.crt" 
        ssl_key => "/home/thinkgamer/pki/tls/private/logstash.key" 
        ssl_verify_mode => "force_peer" 
    }
}

引深应用

以上仅仅是对数据从发源地到logstash收集过程进行解释,但是filebeat进行数据传输加密也可以应用别的方面,比如说A公司的两个数据点之间(B,C)要进行数据的传递,这个时候便可以使用filebeat了,在B和C地点分别生成证书和配置,在C地点可以使用logstash的output将传输过来的数据输出到指定文件夹中即可。

weixin_34059951
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
filebeat传输到logstash通过ssl加密
王树伦的博客
12-15 1820
filebeat端 1、配置openssl.cnf文件         在[ v3_ca ]下面加入              subjectAltName = IP:本机的IP  注:linux如果装了openssl不知道位置的话,可以root账户切到根目录,使用find -name openssl.cnf 查找openssl的安装路径。我用的centos7,已存在openssl,存放目录...
elasticsearch filebeat+logstash+elasticsearch加密传输测试
weixin_43931625的博客
01-20 1025
elasticsearch filebeat+logstash+elasticsearch加密传输测试 ***************************** 配置文件 filebeat filebeat.inputs: - type: log enabled: true paths: - /usr/share/filebeat/logs/*.log ...
还在用命令行看日志?快用Kibana吧,可视化日志分析YYDS ~
macrozheng的专栏
07-13 1055
最近我把mall项目升级支持了SpringBoot 2.7.0,同时升级了整套ELK日志收集系统。我发现每次升级Kibana界面都会有一定的改变,变得更现代化了吧!今天来聊聊mall项目的日志收集机制,使用了SpringBoot支持的最新版ELK,希望对大家有所帮助!...
ELK的使用——Filebeat给Logstash采集日志
田成荣
09-16 5454
为什么使用Filebeat给Logstash收集日志 Logstash本身也是能收集日志的,只不过占用的cup和内存比较多,不是安全传输,是框架级别。filter功能过滤分析,过滤能力强,使用面很广。 Filebeat收集日志是占用的CPU和内存给Logstash少很多,性能给Logstash好很多,收集日志速度比Logstash快很多。 即使Logstash既能过滤也可以收集日志,但是我们...
filebeat推送日志到logstash报错
OfficerGoodbody的博客
08-11 911
filebeat推送日志到logstash报错
filebeat-7.0.0-linux-x86_64.tar.gz elasticsearch配套使用的组件,可收集数据
08-26
3. 在Kibana中,可以使用Discover界面来查看和搜索Filebeat导入的日志数据,也可以创建Index Patterns,以方便对特定类型的数据进行分析。 安全性和性能优化: 1. 为了保障数据的安全性,Filebeat支持SSL/TLS加密...
ELK日志分析系统-filebeat
10-19
6. **安全性**:Filebeat可以通过SSL/TLS加密传输数据,确保日志在传输过程中的安全。 7. **性能优化**:在5.2.1版本中,Filebeat已经针对大量日志处理进行了优化,能够高效地处理高并发日志流。 8. **集成监控**...
filebeat-6.2.4-linux-arm.tar.gz
10-25
6. **监控和维护**:定期检查Filebeat日志,确保数据传输无误,并适时更新到新版本以获取安全补丁和新特性。 总之,Filebeat-6.2.4-linux-arm.tar.gz是为ARM架构的中标麒麟系统设计的日志收集工具,它提供了在该...
filebeat8.2Linux安装包
最新发布
10-17
7. **安全传输**:支持HTTPS和SSL/TLS加密,确保日志数据在传输过程中的安全性。 **四、使用场景** 1. **日志分析**:Filebeat是企业进行日志聚合、搜索和分析的基础,帮助快速定位问题和故障。 2. **监控与报警*...
filebeat.tar.gz
10-22
Filebeat被设计为资消耗低的代理,可以在多个主机上同时运行,用于持续监控和传输日志文件到中央收集点。它支持多种操作系统,包括Linux和Windows,并且可以集成到Elasticsearch、Logstash或第三方系统中。 **二...
Filebeat与Logstash两个工具之间怎样配置SSL加密通信
watermelonbig的专栏
08-06 2501
在目前比较流行的技术实践方案里,Filebeat大多用作日志采集工具,虽然它可以直接将数据写入Elasticsearch中,但出于各方面的效率考虑,一般都会通过Logstash做一个日志数据的汇聚、转换和分发处理。 为了保证应用日志数据的传输安全,我们可以使用SSL相互身份验证来保护Filebeat和Logstash之间的连接。 这可以确保Filebeat仅将加密数据发送到受信任的Logstash...
ELK下Kibana的使用
qq_40907977的博客
03-11 591
在kibana的discover中可以根据自己选择的fileds筛选出自己想要看到的字段比如: 但是如何统计某条日志出现的次数或者说某种类型的日志出现的次数并且以可视化图表的形式展现出来 这个时候就可以用到kibana的visualize 但在创建visualize可视化之前一定要保证自己所选择的index索引已经更新到kibana里如果没有将会找不到该字段如: 排查原因: 后续去discov...
ELK之Kibana
知行合一 止于至善
08-21 5720
Elasticsearch/Logstash/Kibana作为目前开领域最为炙手可热的监控三剑客声名大噪。ELK三者各司其职,本文将简单地介绍一下如何使用Docker结合ElasticSearch和Kibana启动Kibana的图形界面。
企业运维之 ELK日志分析平台(Kibana)
weixin_54720351的博客
04-10 4324
ELK日志分析平台--kibana数据可视化介绍与配置
Java Logstash_Kibana:(四)在 Kibana 中查看日志信息
地球村
10-10 2560
在 Kibana 中查看日志信息1.使用命令方式查看2.从 Kibana 界面查看 1.使用命令方式查看 可以直接在 Dev Tools 中输入命令查看日志信息。 输入: GET test_log/_search 查看全部。 2.从 Kibana 界面查看 进入到 Kibana 后按图所示点击。创建索引表达式 选择没有时间过滤后,点击“Create index pattern”按钮 点击菜单中 Discover,选择右侧 test_log 每条日志在 Elasticsearch 中存储形式
ELK之Kibana入门及使用
weixin_44717560的博客
04-01 5784
Kibana入门及使用一、Kibana介绍二、Kibana安装与配置三、Kibana的使用实验一:绘制访问量统计图实验二:绘制垂直条形图 一、Kibana介绍 Kibana是一个针对Elasticsearch的开分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据使用Kibana,可以通过各种图表进行高级数据分析及展示。 Kibana让海量数据更容易理解。它操作简单,基于浏览器的用户界面可以快速创建仪表板(dashboard)实时显示Elasticsearch查询动态。 设置
微服务测试的关键——通过ELK查询日志
liwenxiang629的博客
11-06 1249
为什么需要ELK 一般我们在工作中查询日志搜索问题时,通常需要直接在日志文件中进行grep、awk 操作就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。随着微服务的广泛应用,无论系统日志,还是业务日志都更进一步了。运维或者开发们发现要从这么大规模的系统中(几百个上千个服务)产生的千亿规模日志去排查问题,简直是难于上青天啊。而ELK的出现解决了这个痛点,他是个开分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:
使用elasticsearch+kibana对Windows进行日志分析
Lqx0804的博客
06-18 1046
环境:Centos7 ELK简介:Elasticsearch+Logstash+Kibana 1、部署ES数据库: Centos7需要安装jdk,推荐使用JDK8版本: 下载JDK8的RPM包,这里使用的是jdk-8u221-linux-x64.rpm rpm -ivh jdk-8u221-linux-x64.rpm #使用rpm命令进行安装 vim /etc/profile #设置环境变量 在配置文件添加如下内容: JAVA_HOME=/usr/java/jdk-1.
ELK与Kibana搭建
我不是程序猿的博客
05-19 516
ELK: 与关系型数据库对比: 单台Elasticsearch 安装 拷贝云盘 rpm-package/elk 目录到跳板机 ```shell [root@ecs-proxy ~]# cp -a elk /var/ftp/localrepo/elk [root@ecs-proxy ~]# cd /var/ftp/localrepo/ [root@ecs-proxy localrepo]# createrepo --update . ...
Java数据加密传输方案优化与混合加密策略研究
这种混合加密方法首先使用改进的DES对明文进行加密,然后使用RSA公钥对DES密钥进行加密,这样既保留了对称加密的高效,又增加了公钥加密的安全保障,特别适用于处理大量数据信息的加密和解密。 论文着重分析了基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值