Filebeat在CentOS上的日志加密方法

在日志管理与安全运维领域，确保日志数据在传输过程中的机密性与完整性至关重要。本文将详细介绍如何在CentOS操作系统上，为Filebeat日志采集器配置端到端的安全传输方案，有效防止数据在传输途中被窃取或篡改，为您的日志数据高速公路筑起可靠的安全防线。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

一、传输层加密 TLS 到 Elasticsearch 或 Logstash

为Filebeat启用传输层安全协议是最核心、最推荐的日志加密方案。其核心目标是保障日志数据从采集端到接收端（如Elasticsearch或Logstash）整个网络传输链路的机密性与完整性，杜绝数据“裸奔”。

实现原理是在Filebeat的输出配置中启用SSL/TLS，并正确配置证书体系，同时在接收端服务开启相应的TLS验证。这相当于为您的日志数据套上了加密信封，只有持有合法密钥的接收方才能解密读取。

以下是一个输出到Elasticsearch集群的安全配置示例（filebeat.yml）：

• 启用 TLS 并指定证书

  filebeat.inputs:
  - type: log
    enabled: true
    paths:
      - /var/log/*.log
  
  output.elasticsearch:
    hosts: [“https://es.example.com:9200”]
    ssl.enabled: true
    ssl.certificate_authorities: [“/etc/filebeat/certs/ca.crt”]
    ssl.certificate: “/etc/filebeat/certs/filebeat.crt”
    ssl.key: “/etc/filebeat/certs/filebeat.key”
    username: “elastic”
    password: “your_password”

配置技巧：在初期测试阶段，可以仅配置ssl.certificate_authorities（即单向认证，Filebeat验证Elasticsearch服务器证书）。待通道测试稳定后，强烈建议补充ssl.certificate和ssl.key配置，升级为双向认证，实现服务器对客户端的身份校验，安全性更高。

若您的架构是将日志发送至Logstash，其加密原理完全相同。只需在Logstash的Beats输入插件中启用SSL支持，并在Filebeat配置中将hosts指向https://地址或配置对应的TLS参数即可实现安全传输。

二、生成证书与密钥（自签名 CA 示例）

证书是构建TLS信任体系的基石。对于企业内部或测试环境，使用自建私有CA颁发证书是常见且经济的选择。首先，建议创建专用目录集中管理证书文件，例如/etc/filebeat/certs，并务必设置严格的文件权限（如仅root可读）。

接下来，我们分两步完成证书签发：

• 生成自签名根证书CA

  mkdir -p /etc/filebeat/certs
  openssl genrsa -out /etc/filebeat/certs/ca.key 2048
  openssl req -x509 -new -nodes -key /etc/filebeat/certs/ca.key -sha256 -days 3650 \
  -out /etc/filebeat/certs/ca.crt -subj “/CN=Filebeat-CA”

• 为 Filebeat 签发客户端证书

  openssl genrsa -out /etc/filebeat/certs/filebeat.key 2048
  openssl req -new -key /etc/filebeat/certs/filebeat.key -out /etc/filebeat/certs/filebeat.csr -subj “/CN=filebeat”
  openssl x509 -req -in /etc/filebeat/certs/filebeat.csr -CA /etc/filebeat/certs/ca.crt -CAkey /etc/filebeat/certs/ca.key \
  -CAcreateserial -out /etc/filebeat/certs/filebeat.crt -days 365 -sha256
  chmod 600 /etc/filebeat/certs/*.key

证书生成后，关键步骤是分发：需要将根证书ca.crt部署到所有Elasticsearch或Logstash节点，并配置其信任此CA。Filebeat端则使用完整的证书链文件：ca.crt、filebeat.crt和私钥filebeat.key。

三、对端服务配置要点（Elasticsearch 示例）

仅配置Filebeat端是不够的，接收端服务也必须正确启用TLS。以Elasticsearch为例，需要在elasticsearch.yml配置文件中启用安全特性并配置TLS相关参数。以下为一个单节点演示配置，生产环境请根据集群架构调整：

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: /etc/elasticsearch/certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: /etc/elasticsearch/certs/elastic-certificates.p12

此外，如果Elasticsearch的HTTP API端口（默认9200）也需要提供HTTPS访问，请务必同时配置http.ssl相关的证书与密钥路径。所有配置修改完成后，必须重启Elasticsearch服务使其生效。

四、启动与验证

完成所有配置后，按顺序重启服务以应用更改：

sudo systemctl restart filebeat
sudo systemctl restart elasticsearch

如何验证加密通道是否建立成功？可以使用curl命令模拟Filebeat客户端，携带证书和密钥向Elasticsearch发起HTTPS请求：

curl -u elastic:your_password --cacert /etc/filebeat/certs/ca.crt \
--cert /etc/filebeat/certs/filebeat.crt --key /etc/filebeat/certs/filebeat.key \
https://es.example.com:9200

若连接失败，首要的排查位置是Filebeat的服务日志，其中通常会记录详细的TLS握手失败或证书验证错误信息：

sudo journalctl -u filebeat -f

特别提醒：如果使用自签名CA，必须确保所有参与通信的节点（Filebeat、Elasticsearch、Logstash）都导入并信任了相同的根证书，否则将出现“证书不受信任”的错误，导致连接失败。

五、字段级加密与注意事项

除了传输层整体加密，有时需要对日志中特定敏感字段（如身份证号、密码、手机号）进行额外加密。那么，Filebeat是否支持字段级加密呢？

答案是，Filebeat本身并未内置对指定日志字段进行自动加密的处理器。若需实现字段级加密

最后，总结几个至关重要的通用安全建议：