我们正在将日志记录从外部合作伙伴转移到内部。 ELK已完成设置并可以正常工作。但是以某种方式确保节拍到收藏夹连接不起作用。X-pack已安装。 Filebeat也正在使用中。
你们如何保护自己的ELK?我正在尝试HERE,HERE中的内容以及ze old google上出现的几乎所有其他内容。
编辑:一切正常。因此,下一步将是确保文件拍到logstash连接的安全性……这根本无法与x-pack中包含的certificate-creation-tool-thingy一起使用。从LogstashLog:
"[ERROR][logstash.inputs.beats ] Looks like you either have an invalid key or your private key was not in PKCS8 format. {:exception=>java.lang.IllegalArgumentException: File does not contain valid private key: bla/bla/bla.key"
已经以PKCS8格式保存,但出现了相同的错误。。
从FilebeatLog:
"ERR Connecting error publishing events (retrying): read tcp xxx.xxx.x.xxx:49914->yyy.yyy.y.yyy:5043: i/o timeout"
预先感谢
EDIT2:我现在已经重做了数千次。仍然是相同的错误。如果我更改.key文件上的内容(如权限),请使用:
"chmod 644 ca.key"
..我遇到了另一个错误:
"[INFO ][org.logstash.beats.BeatsHandler] Exception: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt, from: /xxx.xxx.x.xxx:"
...转换为对等拒绝的连接。。
有人有想法吗?EDIT3:
..如果我使用以下方法测试连接:
"openssl s_client -connect yyy.yyy.y.yyy:aaaa"
有效。我可以连接。但是:
"verify error:num=18:self signed certificate"
现在FilebeatLog告诉我:
"x509: cannot validate certificate for yyy.yyy.y.yyy because it doesn't contain any IP SANs"
..这是总的BS。我按照这些指南去做:[HERE] [3]和这个:[HERE] [4]。 (我无法发布“声誉限制的原因。)
下一个编辑:在我的第三个证书娱乐之后。有用!芜湖。但是,再次:错误。是的,没有什么不好,但是我想理解这一点。
"Verify return code: 21 (unable to verify the first certificate)"
为什么?
下一个编辑2:重新启动后,它变成dis:
"depth=0 CN = yyyy
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = yyyy
verify error:num=21:unable to verify the first certificate
verify return:1
140581134010112:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl/record/rec_layer_s3.c:1399:SSL alert number 40"
仍然:为什么?
所以,对于大多数人来说,这个问题太复杂了。
我的最后一个问题是:
Logstash日志显示“ OPENSSL_internal:PEER_DID_NOT_RETURN_A_CERTIFICATE”Filebeat-Log显示“ ERR无法发布由以下原因引起的事件:写入tcp xxx.xxx.x.xxx:xxxxx->yyy.yyy.y.yyy:yyyy:写入:对等重置连接INFO错误发布事件(重试):写入tcp xxx.xxx.x.xxx:xxxxx->yyy.yyy.y.yyy:yyyy:写入:连接被对等方重置“
..即使续订了所有证书。如果我与openssl连接,它可以工作,如果我不使用curl。关于为什么以及如何的任何想法?
谢谢
在阅读了多篇有关如何设置它的文章之后,我遇到了其中任何一个都未提及的内容。 (也许是它的新增加?)
在Logstash 7.2.0中,配置了ssl_certificate_authorities => ["/etc/logstash/pki/ca.crt"]
时-这将强制服务器验证客户端证书(称为相互TLS)。
我必须从logstash配置中将其删除,并且OPENSSL_internal:PEER_DID_NOT_RETURN_A_CERTIFICATE
错误已解决。
logstash输入配置看起来像这样:
input {
beats {
port => 5044
ssl => true
ssl_certificate => ".../server.crt"
ssl_key => ".../server.key"
ssl_verify_mode => "none"
}
}