我试图追踪谁向ElasticSearch集群发出查询。弹性似乎没有访问日志。
是否有一个地方可以找出哪个IP正在攻击群集?
答案 0 :(得分:1)
Elasticsearch不提供开箱即用的任何安全性,并且是故意的,并且是设计。
所以你有几个解决方案:
不要让您的ES群集暴露在开放的世界中,而是将其behind a firewall(即将可以访问节点上的端口9200/9300的主机列入白名单)
查看Elasticsearch的{{3}}以确保您的环境安全。
将Shield plugin放在群集前面以充当反向代理。
使用nginx server或elasticsearch-jetty plugin添加简单的基本身份验证,这也允许您将允许访问群集的客户端IP列入白名单。
如果您想拥有访问日志,则需要2或3,但上述所有解决方案都可以保护您的ES环境。