4月 24th, 2025 
在CentOS下,要实现Filebeat日志加密,你可以使用以下方法:
- 使用Filebeat的加密功能(自6.0版本起支持)
Filebeat 6.0版本引入了对日志加密的支持。要使用此功能,你需要执行以下步骤:
a. 生成密钥对
首先,你需要生成一个公钥和私钥对。你可以使用OpenSSL或其他工具生成密钥对。例如,使用OpenSSL生成密钥对的命令如下:
openssl genrsa -out private_key.pem 2048
openssl rsa -pubout -in private_key.pem -out public_key.pem
这将生成一个名为private_key.pem的私钥文件和一个名为public_key.pem的公钥文件。
b. 配置Filebeat
编辑Filebeat配置文件(通常位于/etc/filebeat/filebeat.yml),并添加以下内容:
filebeat.inputs:
- type: log
enabled: true
paths:
- /path/to/your/log/files/*.log
processors:
- encrypt:
fields:
- private_key_path: "/path/to/your/private_key.pem"
- public_key_path: "/path/to/your/public_key.pem"
- field: "your_field_to_encrypt"
method: "AES"
options:
key: "your_encryption_key"
cipher: "GCM"
tag: "your_tag_for_encrypted_field"
将/path/to/your/log/files/*.log替换为你要监控的日志文件的路径,将/path/to/your/private_key.pem和/path/to/your/public_key.pem替换为之前生成的密钥文件路径,将your_field_to_encrypt替换为要加密的字段名称,将your_encryption_key替换为用于加密的密钥。
c. 重启Filebeat
保存配置文件并重启Filebeat服务以应用更改:
sudo systemctl restart filebeat
现在,Filebeat将加密指定的字段,并将加密后的值发送到输出模块(例如Elasticsearch或Logstash)。
- 使用Logstash或其他中间件进行加密
如果你使用的是Filebeat的输出模块(例如Elasticsearch或Logstash),你可以在将这些数据发送到最终目的地之前,在Logstash或其他中间件中实现加密。
例如,你可以使用Logstash的encrypt插件来实现加密。首先,安装encrypt插件:
sudo bin/logstash-plugin install logstash-output-encrypt
然后,在Logstash配置文件中添加以下内容:
input {
beats {
port => 5044
}
}
filter {
# 解析日志数据,提取要加密的字段
}
output {
encrypt {
codec => "aes"
key => "your_encryption_key"
cipher => "GCM"
tag => "your_tag_for_encrypted_field"
private_key_path => "/path/to/your/private_key.pem"
public_key_path => "/path/to/your/public_key.pem"
}
elasticsearch {
hosts => ["localhost:9200"]
index => "your_index_name"
}
}
将your_encryption_key、your_tag_for_encrypted_field、/path/to/your/private_key.pem和/path/to/your/public_key.pem替换为相应的值。
最后,重启Logstash服务以应用更改:
sudo systemctl restart logstash
这样,Filebeat将日志数据发送到Logstash,然后Logstash将对指定的字段进行加密,并将加密后的数据发送到Elasticsearch。
Posted in 
