1、概述 search-guard是Elasticsearch的一个安全权限plugin，特性包括： 权限控制粒度可以到indices，types，甚至可以到过滤field层次。同时也可以限制用户行为CRUD, admin权限等。

search-guard可以实现用户访问es中日志需要登陆授权，不同用户访问不同索引，不授权的索引无法查看，分组控制不同user查看各自的业务。

search-guard插件包含两部分，search-guard-ssl和search-guard-2两个插件。

2、安装 2.1 先安装search-guard-ssl插件。按照以下步骤安装。

2.1.1 切换到elasticsearch/plugins/的目录，命令安装插件：

注意版本，这里elasticsearch的版本就是2.3.4，它是要跟search-guard的版本进行对应的。克隆search-guard-ssl项目，生成相关证书。克隆项目命令：

2.1.2 创建数字证书 一般来说创建数字证书流程如下： （1）创建ROOT CA（根证书/CA认证机构） （2）应用服务器创建CSR(证书签名请求文件)，同时会创建好自己的密钥对（公钥和私钥） （3）将CSR发送到CA认证机构 （4）CA机构将返回一个数字签名证书

切换到刚刚克隆的search-guard-ssl的项目目录下，修改etc目录下的配置文件：

根据自己情况修改相关信息等 ，利用脚本，写入密码，生成根证书。

search-guard-ssl还提供了以下脚本：

修改完脚本，就可以执行脚本，生成相关证书。 配置ssl。将生成的证书，keystore.jks 和 truststore.jks复制到/etc/elasticsearch/conf目录下，然后增加如下配置到elasticsearch.yml中：

2.2 安装search-guard-2插件 2.2.1 安装插件

这里同样注意与elasticsearch版本对应。修改配置并插入。切换目录到../elasticsearch/plugins/search-guard-2/ 修改该目录下的sgconfig目下的配置文件。修改用户，角色，角色映射几个配置文件即可。

2.2.2 配置文件介绍 search-guard-2主要有5个配置文件，在 plugins/search-guard-2/sgconfig 下：

（1）sg_config.yml Configure authenticators and authorization backends。主配置文件不需要做改动。 （2）sg_internal_users.yml 本地用户文件，定义用户密码以及对应的权限。例如：对于 ELK 我们需要一个 kibana 登录用户和一个 logstash 用户：

密码可用plugins/search-guard-2/tools/hash.sh生成。

（3）sg_roles.yml 权限配置文件，这里提供 kibana4 和 logstash 的权限样例。

（4）sg_roles_mapping.yml 定义用户的映射关系，添加 kibana 及 logstash 用户对应的映射：

（5）sg_action_groups.yml 定义权限

3、启动 （1）到Elasticsearch的bin目录下，重启Elasticsearch。 （2）通过下面命令启动search-guard。

（3）访问Elasticsearch的页面，用不同的用户登录。

4、Java 客户端访问