CentOS中Filebeat如何配置日志加密

在CentOS系统中配置Filebeat以加密日志，可以遵循以下步骤：

1. 安装Filebeat

首先，确保你已经安装了Filebeat。你可以使用以下命令来安装：

sudo yum install filebeat -y

2. 配置Filebeat

编辑Filebeat的配置文件/etc/filebeat/filebeat.yml，添加或修改以下配置项：

2.1 启用加密

在filebeat.inputs部分，添加ssl.enabled: true来启用SSL/TLS加密。

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
  ssl.enabled: true
  ssl.certificate_authorities: ["/etc/filebeat/ssl/ca.crt"]
  ssl.certificate: "/etc/filebeat/ssl/client.crt"
  ssl.key: "/etc/filebeat/ssl/client.key"

2.2 配置输出到Elasticsearch

确保你的输出配置指向启用了SSL/TLS的Elasticsearch实例。

output.elasticsearch:
  hosts: ["https://your_elasticsearch_host:9200"]
  ssl.verification_mode: certificate
  ssl.certificate_authorities: ["/etc/filebeat/ssl/ca.crt"]

3. 配置SSL/TLS证书

你需要为Filebeat生成或获取SSL/TLS证书。以下是使用OpenSSL生成自签名证书的示例：

3.1 生成CA证书

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/filebeat/ssl/client.key -out /etc/filebeat/ssl/client.crt -subj "/CN=client/O=YourOrganization"

3.2 生成CA证书颁发机构（CA）

sudo openssl req -new -x509 -days 365 -nodes -out /etc/filebeat/ssl/ca.crt -keyout /etc/filebeat/ssl/ca.key -subj "/C=US/ST=YourState/L=YourCity/O=YourOrganization/CN=CA"

4. 重启Filebeat

保存配置文件后，重启Filebeat服务以应用更改：

sudo systemctl restart filebeat

5. 验证配置

确保Filebeat能够成功连接到启用了SSL/TLS的Elasticsearch实例。你可以查看Filebeat的日志文件/var/log/filebeat/filebeat来验证连接是否成功。

tail -f /var/log/filebeat/filebeat

通过以上步骤，你应该能够在CentOS系统中成功配置Filebeat以加密日志传输到Elasticsearch。