Problème connection filebeat

Elastic In Your Native Tongue Discussions en français
1

bonjour

je viens d'installer une version 7.10 d'elasticsearch pour pouvoir récupérer et stocker mes logs de firewall fortinet. Après recherche, il s'avère qu'il existe un module filebeat tout pret pour cela. j'ai installé Filebeat et essayais de sécurisé le tout mais impossible de faire communiquer Filebeat avec Elasticsearch en https.
J'ai essayé avec les documentation de créer un API, cela fonctionne parfaitement en ligne de commande avec un curl mais dès que je l'insère dans le fichier yml cela ne fonctionne pas

voici l'output de mon fichier

output.elasticsearch:
  hosts: ["elasticsearch:9200"]
  protocol: "https"
  ssl.cetificate:  "/etc/filebeat/certs/http.p12"
  ssl.certificat_authorities : ["/etc/filebeat/certs/elasticsearch-ca.pem"]
  ssl.verification_mode: none

  api_key: 
"bjhKOExuWUI3WG1WcEYyeG5NRE06WGdudEhMQkVRTVdHa190X3ZKNEpvQQ=="

voici l'erreur remonté par le service

 ERROR        [publisher_pipeline_output]        pipeline/output.go:154        Failed to connect to backoff(elasticsearch(https://elasticsearch:9200)): 401 Unauthorized: {"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":["Basic realm=\"security\" charset=\"UTF-8\"","Bearer realm=\"security\"","ApiKey"]}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":["Basic realm=\"security\" charset=\"UTF-8\"","Bearer realm=\"security\"","ApiKey"]}},"status":401}

merci d'avance

2

Y a t'il vraiment une ligne vide avant api_key?

3

merci pour votre réponse rapide
mais non il y a juste un espace en le : et le début de la clé, c'est un larsen du copier coller

4

Et je ne sais pas si tu peux vraiment utiliser les deux: API et ssl... Aucune idée...

5

je viens de faire la manipulation en ne laissant que l'url, le protocole et l'API
voici l'erreur

 ERROR        [publisher_pipeline_output]        pipeline/output.go:154        Failed to connect to backoff(elasticsearch(https://elasticsearch:9200)): Get "https://elasticsearch:9200": x509: certificate signed by unknown authority
6

Pourquoi tu utilises ' l'API key authentication et PKI certificate authentication en meme temps ?

De plus, je pense que c'est plutot : (sans les " ")

 protocol: https
7

bonjour

si je change ma config en

output.elasticsearch:
  hosts: ["elasticsearch:9200"]
  protocol: https
  #ssl.cetificate:  "/etc/filebeat/certs/http.p12"
  #ssl.certificat_authorities : ["/etc/filebeat/certs/elasticsearch-ca.pem"]
 # ssl.verification_mode: none

  api_key: "bjhKOExuWUI3WG1WcEYyeG5NRE06WGdudEhMQkVRTVdHa190X3ZKNEpvQQ=="

le service me remonte une erreur

ERROR [publisher_pipeline_output] pipeline/output.go:154 Failed to connect to backoff(elasticsearch(https://elasticsearch:9200)): Get "https://elasticsearch:9200": x509: certificate signed by unknown authority

8

Tu as moyen de vérifie si le certificat est valide ?

9

bonjour
merci pour vos echanges, j'ai résolu mon problème en utilisant non pas le certificat mais le couple autorisation/mot de passe

10

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.