我们正在部署多区域(将来可能会部署多云)。 因此,我们的ElasticSearch端点必须是公共的。
我知道我可以在AWS Elastic Search上添加基于IP的策略,从而将所有允许将其日志写入AWS ES服务的端点列入白名单。
在寻找“更聪明”的选择时,我遇到了: https://discuss.elastic.co/t/how-to-connect-beats-to-aws-elasticsearch-with-authentication/83465 特别是 https://forums.aws.amazon.com/thread.jspa?threadID=294252
后者专门说:
Filebeat不支持IAM身份验证,因此可以在此AWS上使用它 Elasticsearch服务通常不起作用。
但是,我发现了这一点: https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-module-aws.html#aws-credentials-options
是filebeat aws模块,似乎暗示它实际上可能支持它。
找不到任何官方文档或博客来确认我可以在远程计算机上使用filebeat来将日志(已验证?签名?)发送到公共AWS ElasticSearch终端节点,从而使我能够保持策略开放而无需不得不放入白名单(或者可能我都需要)。