Filebeat在CentOS上如何进行安全日志管理

Filebeat在CentOS上的安全日志管理指南

Filebeat作为轻量级日志收集器，结合CentOS系统的安全特性，可实现安全日志的集中收集、加密传输、合规存储与实时分析。以下是具体实施步骤与安全优化措施：

一、安装Filebeat

通过YUM仓库或RPM包安装最新稳定版（推荐从Elastic官网下载），确保软件来源可信：

# 使用YUM安装（需提前配置Elastic YUM仓库）
sudo yum install -y filebeat

# 或通过RPM包安装（适用于手动下载场景）
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.3.1-x86_64.rpm
sudo rpm -ivh filebeat-8.3.1-x86_64.rpm

安装完成后，配置文件默认位于/etc/filebeat/filebeat.yml。

二、配置安全日志收集

聚焦安全相关日志（如系统认证日志、应用安全日志），通过filebeat.inputs模块指定路径与过滤规则：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/secure      # CentOS系统认证日志（含SSH登录、sudo使用等）
    - /var/log/messages    # 系统通用日志（含内核安全事件）
  exclude_lines: ["DBG"]   # 排除调试信息，减少噪音
  exclude_files: [".gz"]   # 忽略压缩归档文件
  fields:
    log_type: "security"   # 添加自定义字段，便于后续分类
    fields_under_root: true

此配置确保Filebeat仅收集与安全相关的日志，避免无关数据占用资源。

三、加密传输与安全输出

1. 启用TLS/SSL加密：防止日志在传输过程中被窃取或篡改。需提前生成证书（或使用Elastic提供的证书），并在filebeat.yml中配置：

   output.elasticsearch:
     hosts: ["elasticsearch.example.com:9200"]
     username: "filebeat_user"  # Elasticsearch认证用户
     password: "secure_password" # 认证密码
     ssl.enabled: true
     ssl.certificate_authorities: ["/etc/pki/tls/certs/ca.crt"] # CA证书路径
   

2. Elasticsearch安全认证：若Elasticsearch启用了X-Pack安全功能，需配置Filebeat使用用户名/密码或API密钥认证（如上例），确保只有授权的Filebeat实例能发送数据。

四、权限与最小化权限原则

1. 使用非特权用户运行：避免以root身份运行Filebeat，降低潜在安全风险：

   sudo useradd -r -s /sbin/nologin filebeat  # 创建专用用户
   sudo chown -R filebeat:filebeat /etc/filebeat /var/log/filebeat  # 修改文件属主
   sudo systemctl edit filebeat.service      # 修改服务配置
   

   在编辑器中添加：

   [Service]
   User=filebeat
   Group=filebeat
   

   重载服务并重启：

   sudo systemctl daemon-reload
   sudo systemctl restart filebeat
   

2. 限制文件访问权限：通过chmod与chown设置配置文件（filebeat.yml）与日志目录的权限，仅允许filebeat用户访问。

五、安全监控与告警

1. 集中分析与可视化：将日志发送至Elasticsearch后，通过Kibana创建安全仪表板，监控以下关键指标：
   • SSH登录失败次数（event.module: "ssh" AND event.action: "authentication_failed"）
   • sudo滥用（event.module: "sudo" AND event.action: "command_executed"）
   • 内核级安全事件（event.module: "kernel" AND event.action: "privileged_operation_attempted"）
2. 设置告警规则：通过Kibana的Alerting功能或Elastic Watcher，当日志中出现“连续5次登录失败”“sudo未授权使用”等模式时，触发邮件/Slack通知。

六、日志轮换与审计

1. 配置Logrotate：防止日志文件过大导致磁盘空间耗尽，同时保留历史日志用于审计：

   sudo nano /etc/logrotate.d/filebeat
   

   添加以下内容（每日轮换、保留7天、压缩旧日志）：

   /var/log/filebeat/*.log {
       daily
       rotate 7
       missingok
       notifempty
       compress
       delaycompress
       create 0640 filebeat filebeat
       sharedscripts
       postrotate
           systemctl kill -s HUP filebeat.service
       endscript
   }
   

2. 审计Filebeat自身日志：监控/var/log/filebeat/filebeat.log，关注“读取日志文件失败”“连接Elasticsearch超时”等异常，及时排查问题。

七、定期更新与维护

1. 升级Filebeat：定期检查Elastic官网的最新版本，通过YUM或RPM包升级，确保安全补丁及时应用：

   sudo yum update -y filebeat
   

2. 监控依赖组件：确保Elasticsearch、Kibana等关联组件的安全配置（如启用X-Pack、限制访问IP），形成完整的安全链路。

通过以上步骤，Filebeat可在CentOS上实现安全日志的全生命周期管理，既满足安全审计需求，又保障了数据传输与存储的安全性。