Problème connection filebeat

f.boer · December 7, 2020, 3:04pm

bonjour

je viens d'installer une version 7.10 d'elasticsearch pour pouvoir récupérer et stocker mes logs de firewall fortinet. Après recherche, il s'avère qu'il existe un module filebeat tout pret pour cela. j'ai installé Filebeat et essayais de sécurisé le tout mais impossible de faire communiquer Filebeat avec Elasticsearch en https.
J'ai essayé avec les documentation de créer un API, cela fonctionne parfaitement en ligne de commande avec un curl mais dès que je l'insère dans le fichier yml cela ne fonctionne pas

voici l'output de mon fichier

output.elasticsearch:
  hosts: ["elasticsearch:9200"]
  protocol: "https"
  ssl.cetificate:  "/etc/filebeat/certs/http.p12"
  ssl.certificat_authorities : ["/etc/filebeat/certs/elasticsearch-ca.pem"]
  ssl.verification_mode: none

  api_key: 
"bjhKOExuWUI3WG1WcEYyeG5NRE06WGdudEhMQkVRTVdHa190X3ZKNEpvQQ=="

voici l'erreur remonté par le service

 ERROR        [publisher_pipeline_output]        pipeline/output.go:154        Failed to connect to backoff(elasticsearch(https://elasticsearch:9200)): 401 Unauthorized: {"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":["Basic realm=\"security\" charset=\"UTF-8\"","Bearer realm=\"security\"","ApiKey"]}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":["Basic realm=\"security\" charset=\"UTF-8\"","Bearer realm=\"security\"","ApiKey"]}},"status":401}

merci d'avance

dadoonet · December 7, 2020, 3:08pm

Y a t'il vraiment une ligne vide avant api_key?

f.boer · December 7, 2020, 3:13pm

merci pour votre réponse rapide
mais non il y a juste un espace en le : et le début de la clé, c'est un larsen du copier coller

dadoonet · December 7, 2020, 3:13pm

Et je ne sais pas si tu peux vraiment utiliser les deux: API et ssl... Aucune idée...

f.boer · December 7, 2020, 3:18pm

je viens de faire la manipulation en ne laissant que l'url, le protocole et l'API
voici l'erreur

 ERROR        [publisher_pipeline_output]        pipeline/output.go:154        Failed to connect to backoff(elasticsearch(https://elasticsearch:9200)): Get "https://elasticsearch:9200": x509: certificate signed by unknown authority

ahmed_charafouddine · December 7, 2020, 3:31pm

Pourquoi tu utilises ' l'API key authentication et PKI certificate authentication en meme temps ?

De plus, je pense que c'est plutot : (sans les " ")

 protocol: https

f.boer · December 7, 2020, 3:50pm

bonjour

si je change ma config en

output.elasticsearch:
  hosts: ["elasticsearch:9200"]
  protocol: https
  #ssl.cetificate:  "/etc/filebeat/certs/http.p12"
  #ssl.certificat_authorities : ["/etc/filebeat/certs/elasticsearch-ca.pem"]
 # ssl.verification_mode: none

  api_key: "bjhKOExuWUI3WG1WcEYyeG5NRE06WGdudEhMQkVRTVdHa190X3ZKNEpvQQ=="

le service me remonte une erreur

ERROR [publisher_pipeline_output] pipeline/output.go:154 Failed to connect to backoff(elasticsearch(https://elasticsearch:9200)): Get "https://elasticsearch:9200": x509: certificate signed by unknown authority

ahmed_charafouddine · December 7, 2020, 5:57pm

Tu as moyen de vérifie si le certificat est valide ?

f.boer · December 10, 2020, 4:29pm

bonjour
merci pour vos echanges, j'ai résolu mon problème en utilisant non pas le certificat mais le couple autorisation/mot de passe

system · January 7, 2021, 4:29pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.