CentOS 上 Filebeat 数据传输加密全流程指南（TLS 配置要点）

以下内容围绕《CentOS 上 Filebeat 数据传输加密全流程指南（TLS 配置要点）》展开，聚焦在使用 TLS 对 Filebeat 与目标接收端（如 Elasticsearch/Logstash）之间的数据传输进行加密的完整流程。通过分步讲解、示例配置和实操命令，帮助你在 CentOS 环境中落地实现安全传输。

1. 背景与目标

目标定义与风险点

在本指南中，我们需要实现的是“传输层加密”+“证书身份校验”，确保 Filebeat 发送到 Elasticsearch/Logstash 的日志数据在传输过程中不被窃听、篡改或伪造。若不启用 TLS，数据明文传输会带来诸多安全隐患。

通过 TLS 配置要点，我们将覆盖证书架构、服务器与客户端证书的角色分工、以及端口与协议版本的强制策略，从而达到端到端的加密传输。本文也会提供在 CentOS 平台上的具体操作要点与注意事项。

2. 环境准备与依赖

版本、组件与兼容性要点

CentOS 7/8/9 均可实现 Filebeat 的 TLS 配置，但需要确认 Filebeat、Elasticsearch/Logstash 版本对 TLS 的支持情况，以及相互之间的证书信任链是否可用。

在开始前，请确保已安装基础依赖，如 OpenSSL、MariaDB/LDAP 等仅在证书颁发场景中可能用到的工具，同时确保服务器时间同步（NTP）。时间一致性对证书有效期与 TLS 握手至关重要。

3. 证书体系设计与生成

自签 CA 还是企业 CA 的选择

推荐使用受信任的企业 CA 或私有 CA 签发的证书，以避免在生产环境中频繁手动信任链配置造成的麻烦。若临时环境或测试场景，可以使用自签 CA，但务必在 Filebeat、Elasticsearch/Logstash 端逐步将证书链导入信任。

证书链骨架通常包括 CA 证书、服务器端证书、客户端证书，其中服务器端证书用于接收端的 TLS 服务端身份，客户端证书用于对 Filebeat 进行双向认证（可选）或单向认证（更常见）。

4. 证书生成与部署示例

常用的 OpenSSL 证书生成流程

下面是一组常见的 OpenSSL 证书生成步骤，演示如何创建 CA、服务器证书与 Filebeat 客户端证书。请将域名、路径等替换为你自己的实际信息。

# 1) 生成自签 CA（根证书）openssl genrsa -out ca.key 4096openssl req -x509 -new -nodes -key ca.key -days 3650 -out ca.crt -subj "/CN=MyORG-CA"# 2) 生成 Elasticsearch/Logstash 服务端证书（必须与服务域名匹配）openssl genrsa -out es.key 2048openssl req -new -key es.key -out es.csr -subj "/CN=es.example.com"openssl x509 -req -in es.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out es.crt -days 3650 -sha256# 3) 生成 Filebeat 客户端证书openssl genrsa -out filebeat.key 2048openssl req -new -key filebeat.key -out filebeat.csr -subj "/CN=filebeat-client"openssl x509 -req -in filebeat.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out filebeat.crt -days 3650 -sha256# 4) 将证书分发到各自节点# - CA 证书 ca.crt 给所有信任的客户端与服务器# - 服务器证书 es.crt、私钥 es.key 给 Elasticsearch/Logstash（若双向 TLS，需在服务端同时配置客户端证书也可用于双向认证）# - 客户端证书 filebeat.crt、私钥 filebeat.key 给 Filebeat 客户端

5. CentOS 系统与网络安全配置

防火墙、SELinux 与时钟同步

确保所需端口对外开放，常见端口包括 5044（Beats 输入）与 9200（Elasticsearch）或 5043/5044（Logstash），在 CentOS 上可通过 firewalld 放行相关端口，并在需要时永久启用。

SELinux 需允许 Filebeat 与对外 TLS 端口的访问，如遇策略阻塞可临时设置为宽松模式测试，最终再回归到合规策略。时钟同步异常会影响 TLS 握手，请优先使用 NTP19960 服务确保时间一致性。

6. Filebeat 端 TLS 配置（核心步骤）

Filebeat 配置文件示例与要点

在 CentOS 环境中，Filebeat 的 TLS 设置需要明确指定证书链、服务器信任链以及证书/密钥路径，以实现对 Elasticsearch/Logstash 的加密传输。

以下示例展示了基于 Elasticsearch 作为接收端的 Filebeat 配置要点。请根据实际环境调整主机、端口及证书路径。

# /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: logenabled: truepaths:- /var/log/*.log# 发送到 Elasticsearch（使用 TLS 进行加密传输）
output.elasticsearch:hosts: ["https://es.example.com:9200"]# 证书信任链ssl.certificate_authorities: ["/etc/pki/tls/certs/ca.crt"]# 客户端证书（用于双向 TLS，可选）ssl.certificate: "/etc/pki/tls/certs/filebeat.crt"ssl.key: "/etc/pki/tls/private/filebeat.key"# 强制对等验证ssl.verification_mode: full# 可选：强制 TLS 版本/密码套件（根据服务端支持调整）tls.min_version: "TLS1.2"tls.cipher_suites: ["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384","TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"]# 如使用 Logstash，请使用同等 TLS 配置
# output.logstash:
#   hosts: ["logstash.example.com:5044"]
#   tls.certificate_authorities: ["/etc/pki/tls/certs/ca.crt"]
#   tls.certificate: "/etc/pki/tls/certs/filebeat.crt"
#   tls.key: "/etc/pki/tls/private/filebeat.key"
#   ssl.verification_mode: full

注意事项与常见选项说明

certificate_authorities 指向 CA 证书路径，确保 Filebeat 能验证接收端证书；如果你采用双向 TLS，filebeat.crt/filebeat.key 将用于客户端身份认证。

verification_mode 设置为 full 以实现严格验证，遇到信任链中断或证书过期时会拒绝握手，在测试阶段可临时设为 none 以排错，但生产环境应使用 full 以确保安全性。

7. Elasticsearch/Logstash 端 TLS 配置要点

Beats 输入通道的 TLS 设置（以 Logstash 为例）

若使用 Logstash 的 Beats 输入，需要在 Logstash 端启用 TLS，并提供服务器证书与私钥，以及颁发机构证书，以完成双向认证或单向认证的需求。

示例配置片段（Logstash beats input）有助于理解对端 TLS 要点：

# Logstash Beats 输入（示例）input {beats {port => 5044ssl => truessl_certificate => "/etc/pki/tls/certs/logstash-beats.crt"ssl_key => "/etc/pki/tls/private/logstash-beats.key"ssl_certificate_authorities => ["/etc/pki/tls/certs/ca.crt"]}}

在 Elasticsearch 端，同样需要信任链以支持来自 Filebeat 的 TLS 连接，如下配置关键字段：

# Elasticsearch TLS 相关片段（示意）xpack.security.enabled: truexpack.security.transport.ssl.enabled: truexpack.security.transport.ssl.verification_mode: fullxpack.security.transport.ssl.keystore.path: /etc/elasticsearch/ssl/elasticsearch.keystore.p12xpack.security.transport.ssl.truststore.path: /etc/elasticsearch/ssl/elasticsearch.truststore.p12

8. 测试与排错

连接性与证书校验的快速验证

首要步骤是确认 Filebeat 能够与接收端建立 TLS 握手并传输日志，可以通过简单的日志语句触发事件并观察接收端的日志统计指标。

常见排错点包括证书过期、信任链不完整、路径权限不足、端口被防火墙阻塞等，逐一排查后应能恢复正常传输。

# 测试 Filebeat 运输是否正常：发送测试日志并查看 Elastic/Logstash 收到的事件数量
filebeat test output -y
curl -k https://es.example.com:9200/_cat/indices?v

证书链与信任的诊断命令

若遇到握手失败，先确认 ca.crt、filebeat.crt、es.crt 的公共 CA 一致性，并验证私钥与证书是否搭配正确。可使用 OpenSSL 的 s_client 做简单测试。

# 使用 OpenSSL 验证 TLS 握手与证书链openssl s_client -connect es.example.com:9200 -CAfile /etc/pki/tls/certs/ca.crt

9. 安全性强化与维护要点

证书轮换与密钥管理

定期轮换证书、更新信任链，避免长期使用同一证书导致的风险；证书到期前提前更新，并在所有相关节点同步替换。

对私钥进行严格权限控制，避免权限过大的文件暴露，必要时使用只读文件权限及 HSM/KMS 等硬件设备来保护私钥。

最佳实践要点清单

采用强制 TLS 1.2+、禁用过时的密码套件，以提升协议安全性；确保日志和证书的生命周期管理流程清晰，避免“雨露均霾”的信任问题。

启用证书链完整性校验与服务端证书 CN 匹配，避免中间人攻击与域名错配带来的风险；监控证书到期并建立告警机制。

10. 结尾说明（非总结性描述）

通过以上步骤，你已经搭建了一个在 CentOS 上实现 Filebeat 数据传输加密的全流程框架，覆盖证书体系、TLS 配置要点、以及端到端的验证与维护要点。本文中的示例与要点聚焦于“CentOS 上 Filebeat 数据传输加密全流程指南（TLS 配置要点）”这一核心目标，确保在生产环境中实现稳定、可审计的加密传输。