我正在尝试总体上熟悉 SIEM 系统,并决定通过 Digital Ocean 建立一个 Elastic Stack。一切都很成功,我作为 localhost 的服务器正在生成日志。修补可视化和那些好东西很有趣。
不过,显然我的兴趣不是来自这个远程服务器的日志。我想在我的家庭网络上配置一些设备来发送日志。
服务器上的当前设置:filebeat > logstash > elasticsearch > kibana。
当我将filebeat安装到我的笔记本电脑上并以与服务器类似的方式配置.yml文件(注释掉弹性输出,取消注释logstash输出)时,它无法连接。基本上我只是将主机设置为 serverip:logstash 端口并在系统上启用 filebeat。运行设置命令会导致“无法连接到任何已配置的 Elasticsearch 主机”。
有人可以为我解释一下我在这个过程中需要考虑什么,而不是直接回答吗?在服务器 LAN 外部连接时发生了什么?如果需要,我如何处理对服务器的身份验证?
谢谢你,真的。我知道信息就在那里,但我深陷兔子洞,很难找到我需要的东西。
最佳答案
确保网络的其余部分无法访问它。因为 API
既不包括身份验证也不包括授权,并且没有经过强化或
经过测试可用作可公开访问的 API,绑定(bind)到可公开访问的 IP
应尽可能避免。
BR阿列克谢。
关于Elasticsearch - 从不在服务器 LAN 上的设备收集日志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63327015/