запустить logstash-forwarder в ненадежной сетевой среде

Я хочу найти безопасный способ запуска logstash-forwarder соответственно logstash с вводом дровосека в ненадежной сетевой среде.

Насколько я понимаю, SSL-сертификат обеспечивает зашифрованное соединение между клиентом и сервером и аутентифицирует сервер для клиента (например, «хорошо, я знаю, что этот сервер является настоящим сервером регистрации»). Как я могу аутентифицировать клиента для сервера (например, «хорошо, я знаю, что этот клиент, пытающийся отправить мне события, является одной из моих машин, а не кем-то другим»)?


logstash logstash-forwarder
person Johannes Reuter    schedule 30.09.2015    source источник

Ответы (1)


arrow_upward
1
arrow_downward

SSL-сертификаты могут работать двунаправленно. Их можно использовать для аутентификации сервера ("хорошо, этот сервер является настоящим сервером регистрации"), а также наоборот ("хорошо, я знаю, что этот клиент является одним из моих машины"). Во втором случае необходимо использовать клиентские сертификаты.

Хотя Logstash Forwarder позволяет настроить клиентский сертификат, ввод дровосека logstash не поддерживает клиентские сертификаты. Существует открытая проблема github относительно этой функции.

Чтобы преодолеть эту дилемму, вы можете использовать альтернативный клиент журнала и logstash . Вход TCP, который поддерживает клиентские сертификаты. Ввод будет выглядеть так:

input {   
    tcp {
        port => 9999
        ssl_cert => "/path/to/server.crt"
        ssl_key => "/path/to/server.key"
        ssl_cacert => "/path/to/ca.crt"
        ssl_enable => true
        ssl_verify => true
    }
}

На стороне клиента вы можете использовать несколько инструментов. Лично я делаю это с помощью NXLog. Правильная конфигурация вывода NXLog будет выглядеть так:

<Output logstash>
    Module  om_ssl
    Host    yourhost
    Port    9999
    CAFile  %CERTDIR%/ca.crt
    CertFile    %CERTDIR%/client.crt
    CertKeyFile %CERTDIR%/client.key
</Output>

К сожалению, это всего лишь обходной путь с другим программным обеспечением, но я боюсь, что нет собственного решения для дровосека.

person hurb    schedule 30.09.2015
comment
Довольно раздражает, но я думаю, что эта функция скоро будет на месте. - person Johannes Reuter; 30.09.2015