共计 2672 个字符,预计需要花费 7 分钟才能阅读完成。
在《你竟然还去服务器上捞日志,搭个日志收集零碎难道不香么!》一文中咱们介绍过 ELK 日志收集零碎的搭建,因为咱们的 Kibana 没有任何平安爱护机制,如果部署到公网上去的话,任何人都能够查看你的日志了。日志裸露在网络上可不是件好事件,明天教大家如何给 Kibana 设置登录认证来爱护它。
SpringBoot 实战电商我的项目 mall(40k+star)地址:https://github.com/macrozheng/mall
实现原理
因为 Kibana 的日志信息都存储在 Elasticsearch 中,所以只有给 Elasticsearch 开启 X-PACK 中的平安性能,并给预置的账号设置好明码即可。Elasticsearch 设置好之后,就能够在 Kibana 中对用户、角色、权限进行治理了,本文应用的 ELK 组件版本均为7.6.2。
Elasticsearch 设置明码
- 批改 Elasticsearch 的配置文件并开启
X-PACK中的平安性能,该配置文件在装置目录的config文件夹上面,例如elasticsearch-7.6.2\config\elasticsearch.yml;
http.cors.enabled: true
http.cors.allow-origin: "*"
http.cors.allow-headers: Authorization
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true- 启动 Elasticsearch 服务,启动命令在
bin目录下,例如elasticsearch-7.6.2\bin\elasticsearch.bat; - 在
bin目录下应用如下命令elasticsearch-setup-passwords interactive批改预置账号的明码,期间须要设置多个账号密码,我都设置成了123456;
- 期间设置了好几个账号,咱们先来理解下这些账号都有啥作用吧;
elastic:超级管理员账号
kibana:Kibana 拜访专用账号
logstash_system:Logstash 拜访专用账号
beats_system:FileBeat 拜访专用账号
apm_system:APM 零碎专用账号
remote_monitoring_user:近程监控账号- 接下来咱们须要在 Kibana 的配置文件中增加能够拜访 Elasticsearch 的账号,该配置文件在装置目录的
config文件夹上面,例如kibana-7.6.2\config\kibana.yml;
elasticsearch.username: "kibana"
elasticsearch.password: "123456"- 启动 Kibana 服务,启动命令在
bin目录下,例如kibana-7.6.2\bin\kibana.bat; - 当 Kibana 启动实现后,咱们拜访的时就须要登录认证了,应用超级管理员账号
elastic:123456能够进行登录,拜访地址:http://localhost:5601
- 登录胜利后,在咱们的
Management选项中能够找到平安相干的配置,在此咱们能够对用户、角色、权限进行设置。
SpringBoot 平安拜访
因为 Elasticsearch 开启
X-PACK中的平安性能,当咱们的 SpringBoot 利用拜访 Elasticsearch 时,也须要设置用户名和明码了!
- 咱们能够间接在 SpringBoot 中设置超级管理员账号,但这不是个好方法,咱们还是本人建个角色和账号吧!
- 首先在 Kibana 中创立一个利用拜访专用的角色
app_user;
- 创立一个用户并配置好该角色,账号密码为
app:123456;
- 批改 SpringBoot 利用的配置文件
application.yml,配置好账号密码即可失常拜访了!
spring:
elasticsearch:
rest:
uris: http://localhost:9200
username: app
password: 123456Logstash 平安拜访
因为 Elasticsearch 开启
X-PACK中的平安性能,向 Elasticsearch 输入日志的 Logstash 也须要设置用户名和明码了!
- 首先批改咱们原来的 Logstash 配置文件
logstash.conf,在output节点下设置拜访 Elasticsearch 的用户名和明码,间接应用咱们创立的app:123456账号即可;
input {
tcp {
mode => "server"
host => "0.0.0.0"
port => 4560
codec => json_lines
type => "debug"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4561
codec => json_lines
type => "error"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4562
codec => json_lines
type => "business"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4563
codec => json_lines
type => "record"
}
}
filter{if [type] == "record" {
mutate {
remove_field => "port"
remove_field => "host"
remove_field => "@version"
}
json {
source => "message"
remove_field => ["message"]
}
}
}
output {
elasticsearch {hosts => ["localhost:9200"]
action => "index"
codec => json
index => "mall-tiny-%{type}-%{+YYYY.MM.dd}"
template_name => "mall-tiny"
user => app
password => "123456"
}
}- 应用指定配置文件启动 Logstash 服务,启动命令在
bin目录下,例如logstash-7.6.2\bin\logstash.bat;
logstash -f logstash.conf- 接下来在 Kibana 中就能够查看到利用输入的日志了!
我的项目源码地址
https://github.com/macrozheng…
本文 GitHub https://github.com/macrozheng/mall-learning 曾经收录,欢送大家 Star!