Vault è un sistema di gestione di crittografia e secret basato sull'identità. Questa integrazione raccoglie gli audit log di Vault. L'integrazione raccoglie anche metriche per token, memoria e archiviazione.
Per ulteriori informazioni su Vault, consulta la documentazione di Hashicorp Vault.
Prerequisiti
Per raccogliere la telemetria di Vault, devi installare Ops Agent:
- Per le metriche, installa la versione 2.18.2 o successive.
- Per i log, installa la versione 2.18.1 o successive.
Questa integrazione supporta Vault versione 1.6 o successive.
Configura l'istanza di Vault
Per raccogliere i dati di telemetria dalla tua istanza di Vault, devi impostare il campo prometheus_retention_time
su un valore diverso da zero nel file di configurazione HCL o JSON Vault.
Full configuration options can be found at https://www.vaultproject.io/docs/configuration telemetry { prometheus_retention_time = "10m" disable_hostname = false }
Inoltre, è necessario un utente root per abilitare la raccolta degli audit log e creare un criterio ACL Prometheus-metrics.
Un token radice viene utilizzato per aggiungere un criterio con funzionalità di lettura all'endpoint /sys/metrics
.
Questo criterio viene utilizzato per creare un token di Vault con autorizzazioni sufficienti per raccogliere le metriche di Vault.
Se stai inizializzando Vault per la prima volta, puoi utilizzare lo script seguente per generare un token radice. In caso contrario, consulta Generare token radice utilizzando chiavi di annullamento per informazioni sulla generazione di un token radice.
export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1' .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY
# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log
# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
capabilities = ["read"]
}
EOF
# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token
Configurare Ops Agent per Vault
Segui la guida per configurare Ops Agent, aggiungi gli elementi richiesti per raccogliere i dati di telemetria dalle istanze Vault e riavvia l'agente.
Configurazione di esempio
Il comando seguente crea la configurazione per raccogliere e importare i dati di telemetria per Vault e riavvia Ops Agent.
Configura la raccolta dei log
Per importare i log da Vault, devi creare ricevitori per i log prodotti da Vault, quindi creare una pipeline per i nuovi ricevitori.
Per configurare un ricevitore per i log vault_audit
, specifica i seguenti campi:
Campo | Predefinito | Descrizione |
---|---|---|
exclude_paths |
Un elenco di pattern di percorsi del file system da escludere dal set corrispondente da include_paths . |
|
include_paths |
Un elenco di percorsi di file system da leggere mediante il tailing di ogni file. È possibile utilizzare un carattere jolly (* ) nei percorsi. |
|
record_log_file_path |
false |
Se il criterio è impostato su true , il percorso del file specifico da cui è stato ottenuto il record di log viene visualizzato nella voce di log di output come valore dell'etichetta agent.googleapis.com/log_file_path . Quando utilizzi un carattere jolly, viene registrato solo il percorso del file da cui è stato ottenuto il record. |
type |
Il valore deve essere vault_audit . |
|
wildcard_refresh_interval |
60s |
L'intervallo con cui vengono aggiornati i percorsi dei file con caratteri jolly in include_paths . Specificata come durata di tempo, ad esempio 30s o 2m . Questa proprietà potrebbe essere utile con velocità effettiva di logging elevate, in cui i file di log vengono ruotati più velocemente rispetto all'intervallo predefinito. |
Cosa viene registrato
logName
deriva dagli ID destinatario specificati nella configurazione. Di seguito sono riportati i campi dettagliati all'interno della LogEntry
.
I log vault_audit
contengono i seguenti campi in LogEntry
:
Campo | Tipo | Descrizione |
---|---|---|
jsonPayload.auth |
struct | |
jsonPayload.auth.accessor |
string | Questo è un HMAC della funzione di accesso al token client. |
jsonPayload.auth.client_token |
string | Questo è un HMAC dell'ID token del client. |
jsonPayload.auth.display_name |
string | Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret. |
jsonPayload.auth.entity_id |
string | Questo è un identificatore di entità token. |
jsonPayload.auth.metadata |
oggetto | Questo conterrà un elenco di coppie chiave/valore di metadati associate a client_token. |
jsonPayload.auth.policies |
oggetto | Questo conterrà un elenco dei criteri associati a client_token. |
jsonPayload.auth.token_type |
string | |
jsonPayload.error |
string | Se si è verificato un errore nella richiesta, il messaggio di errore viene incluso nel valore di questo campo. |
jsonPayload.request |
struct | |
jsonPayload.request.client_token |
string | Questo è un HMAC dell'ID token del client. |
jsonPayload.request.client_token_accessor |
string | Questo è un HMAC della funzione di accesso al token client. |
jsonPayload.request.data |
oggetto | L'oggetto dati conterrà i dati secret in coppie chiave/valore. |
jsonPayload.request.headers |
oggetto | Intestazioni HTTP aggiuntive specificate dal client come parte della richiesta. |
jsonPayload.request.id |
string | Si tratta dell'identificatore univoco della richiesta. |
jsonPayload.request.namespace.id |
string | |
jsonPayload.request.operation |
string | Questo è il tipo di operazione che corrisponde alle funzionalità del percorso e dovrebbe essere uno dei seguenti: create , read , update , delete o list . |
jsonPayload.request.path |
string | Il percorso dell'operazione Vault richiesto. |
jsonPayload.request.policy_override |
boolean | Si tratta di true quando è stato richiesto un override dei criteri obbligatorio. |
jsonPayload.request.remote_address |
string | L'indirizzo IP del client che effettua la richiesta. |
jsonPayload.request.wrap_ttl |
string | Se il token è inserito nel wrapping, viene visualizzato il valore TTL con wrapping configurato come stringa numerica. |
jsonPayload.response |
struct | |
jsonPayload.response.data.accessor |
string | Questo è un HMAC della funzione di accesso al token client. |
jsonPayload.response.data.creation_time |
string | Timestamp in formato RFC 3339 della creazione del token. |
jsonPayload.response.data.creation_ttl |
string | TTL per la creazione del token in secondi. |
jsonPayload.response.data.display_name |
string | Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret. |
jsonPayload.response.data.entity_id |
string | Questo è un identificatore di entità token. |
jsonPayload.response.data.expire_time |
string | Timestamp in formato RFC 3339 che rappresenta il momento in cui il token scadrà. |
jsonPayload.response.data.explicit_max_ttl |
string | Valore TTL massimo del token esplicito come secondi ("0" se non impostato). |
jsonPayload.response.data.id |
string | Si tratta dell'identificatore univoco della risposta. |
jsonPayload.response.data.issue_time |
string | Timestamp in formato RFC 3339. |
jsonPayload.response.data.num_uses |
number | Se il token è limitato a un numero di utilizzi, il valore sarà rappresentato qui. |
jsonPayload.response.data.orphan |
boolean | Valore booleano che indica se il token è orfano. |
jsonPayload.response.data.path |
string | Il percorso dell'operazione Vault richiesto. |
jsonPayload.response.data.policies |
oggetto | Questo conterrà un elenco dei criteri associati a client_token. |
jsonPayload.response.data.renewable |
boolean | Valore booleano che indica se il token è orfano. |
jsonPayload.type |
string | Il tipo di audit log. |
severity |
string | |
timestamp |
stringa (Timestamp ) |
L'ora in cui la richiesta è stata ricevuta |
Configurazione della raccolta di metriche
Per importare le metriche da Vault, devi creare un ricevitore per le metriche produttive da Vault, quindi creare una pipeline per il nuovo ricevitore.
Questo ricevitore non supporta l'utilizzo di più istanze nella configurazione, ad esempio per monitorare più endpoint. Tutte queste istanze scrivono nella stessa serie temporale e Cloud Monitoring non ha modo di distinguerle.
Per configurare un ricevitore per le metriche vault
, specifica i seguenti campi:
Campo | Predefinito | Descrizione |
---|---|---|
ca_file |
Percorso del certificato CA. In qualità di client, questa operazione verifica il certificato del server. Se è vuoto, il destinatario utilizza la CA radice di sistema. | |
cert_file |
Percorso del certificato TLS da utilizzare per le connessioni richieste da mTLS. | |
collection_interval |
60s |
Un valore time.Duration , ad esempio 30s o 5m . |
endpoint |
localhost:8200 |
Il campo "hostname:port" utilizzato da Vault |
insecure |
true |
Consente di specificare se utilizzare o meno una connessione TLS sicura. Se il criterio viene impostato su false , il protocollo TLS è abilitato. |
insecure_skip_verify |
false |
Consente di scegliere se saltare o meno la verifica del certificato. Se il criterio insecure è impostato su true , il valore "insecure_skip_verify" non viene utilizzato. |
key_file |
Percorso della chiave TLS da utilizzare per le connessioni richieste da mTLS. | |
metrics_path |
/v1/sys/metrics |
Il percorso per la raccolta delle metriche. |
token |
localhost:8200 |
Token utilizzato per l'autenticazione. |
type |
Questo valore deve essere vault . |
Che cosa viene monitorato
La tabella seguente fornisce l'elenco delle metriche raccolte da Ops Agent dall'istanza di Vault.
Tipo di metrica | |
---|---|
Tipo, tipo Risorse monitorate |
Etichette |
workload.googleapis.com/vault.audit.request.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.audit.response.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.core.leader.duration
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.core.request.count
|
|
GAUGE , INT64 gce_instance |
cluster
|
workload.googleapis.com/vault.memory.usage
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.storage.operation.delete.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.delete.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.token.count
|
|
GAUGE , INT64 gce_instance |
namespace
cluster
|
workload.googleapis.com/vault.token.lease.count
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.renew.time
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.revoke.time
|
|
GAUGE , INT64 gce_instance |
Verificare la configurazione
In questa sezione viene descritto come verificare di aver configurato correttamente il destinatario di Vault. Ops Agent potrebbe impiegare uno o due minuti per iniziare a raccogliere i dati di telemetria.
Per verificare che i log di Vault vengano inviati a Cloud Logging, segui questi passaggi:
-
Nel pannello di navigazione della console Google Cloud, seleziona Logging, quindi Esplora log:
- Inserisci la seguente query nell'editor e fai clic su Esegui query:
resource.type="gce_instance" log_id("vault_audit")
Per verificare che le metriche di Vault vengano inviate a Cloud Monitoring:
-
Nella console Google Cloud, vai alla pagina Metrics Explorer leaderboard:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Monitoring.
- Nella barra degli strumenti del riquadro del generatore di query, seleziona il pulsante il cui nome è code MQL o code PromQL.
- Verifica che sia selezionato MQL nel pulsante di attivazione/disattivazione Lingua. Il pulsante di attivazione/disattivazione della lingua si trova nella stessa barra degli strumenti che consente di formattare la query.
- Inserisci la seguente query nell'editor e fai clic su Esegui query:
fetch gce_instance | metric 'workload.googleapis.com/vault.memory.usage' | every 1m
Visualizza dashboard
Per visualizzare le metriche di Vault, devi aver configurato un grafico o una dashboard. L'integrazione di Vault include una o più dashboard. Tutte le dashboard vengono installate automaticamente dopo la configurazione dell'integrazione e dopo che Ops Agent ha iniziato a raccogliere i dati delle metriche.
Puoi anche visualizzare anteprime statiche delle dashboard senza installare l'integrazione.
Per visualizzare una dashboard installata, segui questi passaggi:
-
Nella console Google Cloud, vai alla pagina Dashboard:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Monitoring.
- Seleziona la scheda Elenco dashboard, quindi scegli la categoria Integrazioni.
- Fai clic sul nome della dashboard da visualizzare.
Se hai configurato un'integrazione, ma la dashboard non è stata installata, verifica che Ops Agent sia in esecuzione. Se nella dashboard non sono disponibili dati delle metriche per un grafico, l'installazione della dashboard non riesce. Dopo che Ops Agent ha iniziato a raccogliere le metriche, la dashboard viene installata automaticamente.
Per visualizzare un'anteprima statica della dashboard:
-
Nella console Google Cloud, vai alla pagina Integrazioni:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Monitoring.
- Fai clic sul filtro piattaforma di deployment di Compute Engine.
- Individua la voce relativa a Vault e fai clic su Visualizza dettagli.
- Seleziona la scheda Dashboard per visualizzare un'anteprima statica. Se la dashboard è installata, puoi accedervi facendo clic su Visualizza dashboard.
Per ulteriori informazioni sulle dashboard in Cloud Monitoring, consulta Dashboard e grafici.
Per ulteriori informazioni sull'utilizzo della pagina Integrazioni, consulta Gestire le integrazioni.
Installa criteri di avviso
I criteri di avviso indicano a Cloud Monitoring di inviarti una notifica quando si verificano condizioni specificate. L'integrazione di Vault include uno o più criteri di avviso che puoi utilizzare. Puoi visualizzare e installare questi criteri di avviso dalla pagina Integrazioni in Monitoring.
Per visualizzare le descrizioni dei criteri di avviso disponibili e installarli:
-
Nella console Google Cloud, vai alla pagina Integrazioni:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Monitoring.
- Individua la voce per Vault e fai clic su Visualizza dettagli.
- Seleziona la scheda Avvisi. Questa scheda fornisce descrizioni dei criteri di avviso disponibili e un'interfaccia per installarli.
- Installa i criteri di avviso. I criteri di avviso devono sapere dove inviare le notifiche relative all'attivazione dell'avviso, per cui richiedono informazioni da parte tua per l'installazione.
Per installare i criteri di avviso:
- Dall'elenco dei criteri di avviso disponibili, seleziona quelli che vuoi installare.
Nella sezione Configura le notifiche, seleziona uno o più canali di notifica. Puoi disattivare l'utilizzo dei canali di notifica. Tuttavia, in questo caso i criteri di avviso si attivano in modo invisibile. Puoi verificarne lo stato in Monitoring, ma non ricevi notifiche.
Per maggiori informazioni sui canali di notifica, consulta la pagina Gestire i canali di notifica.
- Fai clic su Crea criteri.
Per ulteriori informazioni sui criteri di avviso in Cloud Monitoring, consulta Introduzione agli avvisi.
Per ulteriori informazioni sull'utilizzo della pagina Integrazioni, consulta Gestire le integrazioni.
Passaggi successivi
Per una procedura dettagliata su come utilizzare Ansible per installare Ops Agent, configurare un'applicazione di terze parti e installare una dashboard di esempio, consulta il video Installare Ops Agent per la risoluzione dei problemi delle applicazioni di terze parti.