怎么给kibana加上权限？

更新：2016-05-20 09:36

通过向Elastic了解，他们目前开发的5.0版本支持更好的权限定制，粒度达到字段级别。他们预计今年就可以上线，如果你不是有一个旧版本的kibanba非要维护不可，那么可以考虑这个新版本。kibanba5.0 被寄希望是一个革命性的版本，同时logstash、Elasticsearch 都将版本号升级为5.0方便用户在使用ELK架构的时候，容易的选择兼容的版本。

写在前面

好像在github上面有人开发了kibana插件，可以支持登录、权限控制等等，不过我自己对nodejs了解有限（其实就是不喜欢用）。所以我决定用代理方式来控制权限。

kibana和Elasticsearch是通过http协议连接

所以，你只需要让kibana以为你的某个web Server 是Elasticsearch就行了，这个就是改改配置文件搞定。

elasticsearch.url: "http://admin.com"

如果你希望kibana并入你的某个后台权限

假设你的后台访问地址如下：

http://admin.com

在你的Nginx服务器里，将所有发往http://admin.com/app/kibana的请求 转发到kibana的服务器，比如

proxy_pass 192.168.1.12:5601;

这样一来访问kibana的时候，会带上你的后台的Cookie，也就可以使用后台的登录权限了。

kibana访问Elasticsearch的时候，肯定要指定索引

所以，你只需要判断索引的名字是否是这个用户可以查看就行。获取索引名字有点麻烦，kibana一般在请求体的Json中的比如index,docs,_index 等字段放索引名字。

你得分析json，都取出来。有时候它会发多个json，每行一个，你得处理这种情况。

拿到索引后，你可以自己决定，怎么控制权限了。

注意：.kibana 索引和一些插件索引，不应该被权限屏蔽。

怎么做到每个人或每个项目组操作一台独立的kibana的感觉？

1. 架设多台kibana，分配不同端口就行了
2. 你可能觉得这样维护有点蛋疼那下面再说怎么处理多用户

kibana将所有的配置、用户数据都放在一个叫做.kibana的索引中

当然，这个名字可以改，但是只能有一个。

如果我能够在kibana访问.kibana的时候，将.kibana改为另一个索引的名字，比如.kibana-1 那么我就可以给所有分组为1的用户，使用一个独立的kibana数据库。

最简单的办法就是找到所有json中的.kibana数据 ，替换成你想要的索引名字，在返回数据的时候，记得再换回来。

漏洞和缺陷

由于Elasticsearch的查询方法非常丰富，所以这种权限体现最多是保证登录安全，索引的权限控制，可能还需要在使用中慢慢完善。

比如，当用户查询 apache-log-* 的时候，你可能可以发现，他没有这个权限，

但是如果他什么索引都不传，在Elasticsearch中并不是搜不到任何东西，它会搜索所有索引。

这种情况下，权限就被绕过。然而kibana会发出许多不带索引的请求，比如获取服务器全局状态等等。

要区分这些请求并不容易。

注意点

1. 路径

kibana 代理的路径在4.2以后，kibana的访问地址变了:原先可能是localhost:5601 现在是localhost:5601/app/kibana，设计者将整个kibana作为一个插件来管理。

2. json

如果你使用php ，json_decode($json,第二个参数)

如果你要改造kibana的查询请求，第二个参数特别重要，因为，如果你将它设置为true的时候，经过decode -> encode 两次转换后，空对象会变成空数组。比如：

{"fields":{}}
//变成
{"fields":[]}

导致语句报错。