Logstash 5.5連線ES+KI因為X-pack的原因，不像之前的無信任連線，因此增加了一個安全認證的過程。因為沒時間，csdn不支援截圖，湊合看。

特別提示：在配置規則之前，一定要建立一個預設索引，建議用"*"，不要用.kibana，是個坑。

如果用.kibana配置規則的話，一般在logstash日誌中會報“[logstash.outputs.elasticsearch] retrying failed action with response code: 403”。

介質

logstash-5.5.2.tar.gz

安裝步驟：

tar zxf logstash-5.5.2.tar.gz -C /opt/elk/

配置：

1，點選management-->Roles-->Create Role

輸入規則名稱"syslog_audit_rule"

儲存。

2，點選management-->Roles-->Users-->Ceate User

建立syslog_audit使用者，其餘輸入相應的配置，保證不留空，儲存。

3，在/opt/elk/logstash/config/syslog_audit.conf檔案中，增加使用者名稱和密碼。

output {
  elasticsearch {
        hosts => ["127.0.0.1:9200"]
        index => "syslog_audit-%{+yyyy-MM-dd}"
        user => "syslog_audit"
        password => "changeme"
        }
        stdout { codec => rubydebug }
}

其他monitor配置，官網有相應配置。