如何确保Filebeat日志传输安全

确保 Filebeat 日志传输安全的实用方案

一 加密传输 TLS 与双向认证

• 直连 Elasticsearch：将输出改为 HTTPS，指定 CA 证书并开启严格证书校验；如服务端要求客户端证书，再配置 client certificate/key。示例：
  • 启用 TLS 与 CA 校验
    • hosts: [“https://es.example.com:9200”]
    • ssl.certificate_authorities: [“/etc/filebeat/certs/ca.crt”]
    • ssl.verification_mode: full
  • 如需双向认证（mTLS）
    • ssl.certificate: “/etc/filebeat/certs/filebeat.crt”
    • ssl.key: “/etc/filebeat/certs/filebeat.key”
• 经由 Logstash：在 Logstash Beats 输入启用 SSL，并配置服务器端证书与客户端证书校验；Filebeat 侧配置指向 Logstash 的 HTTPS 5044 并携带客户端证书。示例：
  • Logstash 输入
    • input { beats { port => 5044 ssl => true ssl_certificate => “/path/logstash.crt” ssl_key => “/path/logstash.key” ssl_certificate_authorities => [“/path/filebeat.crt”] ssl_verify_mode => “force_peer” } }
  • Filebeat 输出
    • output.logstash: hosts: [“logstash.example.com:5044”] ssl.certificate_authorities: [“/etc/filebeat/certs/logstash.crt”] ssl.certificate: “/etc/filebeat/certs/filebeat.crt” ssl.key: “/etc/filebeat/certs/filebeat.key”
• 证书与密钥建议
  • 使用私有 CA 统一签发；证书中包含必要的 SAN（DNS/IP）；私钥妥善保护并设置最小权限（如 600）。
  • 若 Logstash 报 “private key was not in PKCS#8 format”，将私钥转换为 PKCS#8：openssl pkcs8 -in logstash.key -topk8 -nocrypt -out logstash.p8。

二 身份认证与最小权限

• 基本认证：为 Filebeat 创建专用用户（如 beats_writer），仅授予必要的集群与索引权限；在 Filebeat 配置中使用用户名/密码或将密码存入 keystore。示例最小权限：
  • 角色
    • POST _security/role/beats_writer { “cluster”: [“manage_index_templates”,“monitor”,“manage_ingest_pipelines”], “indices”: [{ “names”: [“filebeat-*”], “privileges”: [“write”,“create_index”] }] }
  • 用户
    • POST /_security/user/filebeat_internal { “password”:“StrongPass!”,“roles”:[“beats_writer”,“kibana_user”] }
  • 配置
    • output.elasticsearch: hosts: [“https://es:9200”] username: “filebeat_internal” password: “${ES_PWD}”
• 证书认证（PKI）：将客户端证书的 DN 通过 role_mapping.yml 映射到 beats_writer 等角色，实现免口令登录与更强的身份绑定。
• 安全存储凭据：避免在配置中明文写密码，使用 Filebeat keystore 管理敏感值（如 filebeat keystore add ES_PWD）。

三 网络边界与系统加固

• 网络与端口
  • 仅开放必要端口与来源：如 Filebeat→Logstash 的 TCP/5044、Filebeat→ES 的 TCP/9200；使用 firewalld/安全组 限制为受信网段/IP。
  • 避免将 Kibana 5601 暴露为明文，建议前置 Nginx/Ingress 强制 HTTPS 并做 Basic Auth 与 IP 白名单。
• 系统与进程
  • 以 非 root 用户运行 Filebeat，最小化配置文件、证书与日志目录权限（如 600/700）。
  • 仅采集必要日志，必要时在采集端做 脱敏/过滤，降低敏感数据暴露面。

四 高可用与可观测性

• 架构解耦与缓冲：在 Filebeat → Kafka → Logstash/ES 链路中引入 Kafka 作为缓冲层，降低后端故障导致的日志积压与丢失风险。
• 运行监控与审计
  • 启用 X-Pack Monitoring 观察 Filebeat 与 ES 的运行状态；在 ES/Kibana 开启 审计日志，追踪异常访问与配置变更。
  • 定期扫描未加密端口（如 9200/9300）与证书有效期，及时轮换。

五 快速自检清单

• 连接与证书
  • 使用 curl -vk https://es:9200 或 openssl s_client -connect es:9200 -showcerts 验证 TLS 握手与证书链。
  • 确认 Filebeat 日志无 TLS/握手错误，能正常写入目标索引。
• 认证与授权
  • 用专用用户连接 ES，验证仅具备 beats_writer 等最小权限；如启用 PKI，确认 DN→角色 映射生效。
• 网络与权限
  • 复核 firewalld/安全组 规则、目录与文件权限（证书 600、配置 600、证书目录 700）。