HashiCorp Vault

Vault は、ID ベースの Secret と暗号化の管理システムです。この統合により、Vault の監査ログを収集します。この統合では、トークン、メモリ、ストレージの指標も収集されます。

Vault の詳細については、Hashicorp Vault のドキュメントをご覧ください。

前提条件

Vault テレメトリーを収集するには、Ops エージェントをインストールする必要があります。

  • 指標の場合は、バージョン 2.18.2 以降をインストールします。
  • ログの場合は、バージョン 2.18.1 以降をインストールします。

この統合は、Vault バージョン 1.6 以降をサポートしています。

Vault インスタンスを構成する

Vault インスタンスからテレメトリーを収集するには、HCL または JSON Vault の構成ファイルで prometheus_retention_time フィールドをゼロ以外の値に設定する必要があります。

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

また、監査ログの収集を有効にして、Prometheus 指標 ACL ポリシーを作成するには、root ユーザーが必要です。ルートトークンは、読み込み特性のポリシーを /sys/metrics エンドポイントに追加するために使用されます。このポリシーは、Vault 指標を収集するのに十分な権限を持つ Vault トークンを作成するために使用されます。

Vault を初めて初期化する場合は、次のスクリプトを使用してルートトークンを生成できます。ルートトークンの生成に関する詳細については、シール解除キーを使用したルートトークンの生成をご覧ください。

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Vault 用に Ops エージェントを構成する

Ops エージェントの構成のガイドに従って、Vault インスタンスからテレメトリーを収集するために必要な要素を追加し、エージェントを再起動します。

構成の例

次のコマンドは、Vault のテレメトリーを収集して取り込み、Ops エージェントを再起動するための構成を作成します。

# Configures Ops Agent to collect telemetry from the app and restart Ops Agent.

set -e

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)

sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

sudo service google-cloud-ops-agent restart

ログの収集を構成する

Vault からログを取り込むには、Vault が生成するログのレシーバを作成してから、新しいレシーバ用のパイプラインを作成する必要があります。

vault_audit ログのレシーバを構成するには、次のフィールドを指定します。

フィールド デフォルト 説明
exclude_paths include_paths の照合で除外するファイルシステム パスのパターンのリスト。
include_paths 各ファイルのテーリングで読み込むファイルシステムのパスのリスト。パスにはワイルドカード(*)を使用できます。
record_log_file_path false true に設定すると、ログレコードの取得元のファイルのパスが agent.googleapis.com/log_file_path ラベルの値として出力ログエントリに表示されます。ワイルドカードを使用する場合、レコードを取得したファイルのパスのみが記録されます。
type 値には vault_audit を指定してください。
wildcard_refresh_interval 60s include_paths のワイルドカード ファイルのパスの更新間隔。時間を指定します(例: 30s2m)。このプロパティは、ログファイルのローテーションがデフォルトの間隔よりも速く、ロギングのスループットが高い場合に有用です。

ログの内容

logName は、構成で指定されたレシーバ ID から取得されます。LogEntry 内の詳細なフィールドは、次のとおりです。

vault_audit ログの LogEntry には次のフィールドが含まれます。

フィールド タイプ 説明
jsonPayload.auth 構造体
jsonPayload.auth.accessor 文字列 これは、クライアント トークン アクセサーの HMAC です。
jsonPayload.auth.client_token 文字列 これは、クライアントのトークン ID の HMAC です。
jsonPayload.auth.display_name 文字列 これは、認証メソッドのロールによって設定された表示名か、Secret の作成時に明示的に設定された表示名です。
jsonPayload.auth.entity_id 文字列 これはトークン エンティティ ID です。
jsonPayload.auth.metadata オブジェクト これは、client_token に関連付けられたメタデータの Key-Value ペアのリストを含みます。
jsonPayload.auth.policies オブジェクト これは、client_token に関連付けられたポリシーのリストを含みます。
jsonPayload.auth.token_type 文字列
jsonPayload.error 文字列 リクエストでエラーが発生した場合、このフィールドの値にはエラー メッセージが含まれます。
jsonPayload.request 構造体
jsonPayload.request.client_token 文字列 これは、クライアントのトークン ID の HMAC です。
jsonPayload.request.client_token_accessor 文字列 これは、クライアント トークン アクセサーの HMAC です。
jsonPayload.request.data オブジェクト データ オブジェクトは、Key-Value ペアの Secret データを含みます。
jsonPayload.request.headers オブジェクト リクエストの一部としてクライアントによって指定された追加の HTTP ヘッダー。
jsonPayload.request.id 文字列 これは一意のリクエスト ID です。
jsonPayload.request.namespace.id 文字列
jsonPayload.request.operation 文字列 これはパスの特性に対応するオペレーションのタイプであり、createreadupdatedeletelist のいずれかが想定されています。
jsonPayload.request.path 文字列 リクエストされたオペレーション用の Vault のパス。
jsonPayload.request.policy_override ブール値 ソフト必須ポリシーのオーバーライドがリクエストされた場合、これは true です。
jsonPayload.request.remote_address 文字列 リクエストを行っているクライアントの IP アドレス。
jsonPayload.request.wrap_ttl 文字列 トークンがラップされている場合、これは構成済みのラップされた TTL 値を数値文字列として表示します。
jsonPayload.response 構造体
jsonPayload.response.data.accessor 文字列 これは、クライアント トークン アクセサーの HMAC です。
jsonPayload.response.data.creation_time 文字列 トークン作成の RFC 3339 形式のタイムスタンプ。
jsonPayload.response.data.creation_ttl 文字列 トークン作成の TTL(秒)。
jsonPayload.response.data.display_name 文字列 これは、認証メソッドのロールによって設定された表示名か、Secret の作成時に明示的に設定された表示名です。
jsonPayload.response.data.entity_id 文字列 これはトークン エンティティ ID です。
jsonPayload.response.data.expire_time 文字列 このトークンの有効期限が切れる時点を表す RFC 3339 形式のタイムスタンプ。
jsonPayload.response.data.explicit_max_ttl 文字列 明示的なトークンの最大 TTL 値(秒)(設定していない場合は 0)。
jsonPayload.response.data.id 文字列 これはレスポンスの一意の ID です。
jsonPayload.response.data.issue_time 文字列 RFC 3339 形式のタイムスタンプ。
jsonPayload.response.data.num_uses 数値 トークンが使用者の数に制限されている場合、その値がここに表示されます。
jsonPayload.response.data.orphan ブール値 トークンが独立しているかどうかを示すブール値。
jsonPayload.response.data.path 文字列 リクエストされたオペレーション用の Vault のパス。
jsonPayload.response.data.policies オブジェクト これは、client_token に関連付けられたポリシーのリストを含みます。
jsonPayload.response.data.renewable ブール値 トークンが独立しているかどうかを示すブール値。
jsonPayload.type 文字列 監査ログのタイプ。
severity 文字列
timestamp 文字列(Timestamp リクエストを受信した時刻

指標の収集を構成する

Vault から指標を取り込むには、Vault が生成する指標のレシーバーを作成してから、新しいレシーバー用のパイプラインを作成する必要があります。

このレシーバーでは、複数のエンドポイントのモニタリングなど、構成で複数のインスタンスを使用することはできません。このようなインスタンスはすべて同じ時系列に書き込まれるため、Cloud Monitoring ではインスタンスを区別できません。

vault 指標のレシーバーを構成するには、次のフィールドを指定します。

フィールド デフォルト 説明
ca_file CA 証明書のパス。クライアントとして、これによりサーバー証明書が検証されます。空の場合、レシーバはシステムルート CA を使用します。
cert_file mTLS で必要な接続に使用する TLS 証明書のパス。
collection_interval 60s time.Duration 値(30s5m など)。
endpoint localhost:8200 Vault で使用される hostname:port
insecure true セキュア TLS 接続を使用するかどうかを設定します。false に設定すると、TLS が有効になります。
insecure_skip_verify false 証明書の検証をスキップするかどうかを指定します。insecuretrue に設定されている場合、insecure_skip_verify の値は使用されません。
key_file mTLS で必要な接続に使用する TLS キーのパス。
metrics_path /v1/sys/metrics 指標収集のパス。
token localhost:8200 認証に使用されるトークン。
type 値は、vault にする必要があります。

モニタリング対象

次の表に、Ops エージェントが Vault インスタンスから収集する指標の一覧を示します。

指標タイプ
種類、タイプ
モニタリング対象リソース		 ラベル
workload.googleapis.com/vault.audit.request.failed
CUMULATIVEINT64
gce_instance 		 
workload.googleapis.com/vault.audit.response.failed
CUMULATIVEINT64
gce_instance 		 
workload.googleapis.com/vault.core.leader.duration
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/vault.core.request.count
GAUGEINT64
gce_instance 		cluster
workload.googleapis.com/vault.memory.usage
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/vault.storage.operation.delete.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.delete.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.get.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.get.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.list.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.list.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.put.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.put.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.token.count
GAUGEINT64
gce_instance 		namespace
cluster
workload.googleapis.com/vault.token.lease.count
GAUGEINT64
gce_instance 		 
workload.googleapis.com/vault.token.renew.time
GAUGEINT64
gce_instance 		 
workload.googleapis.com/vault.token.revoke.time
GAUGEINT64
gce_instance 		 

構成を確認する

このセクションでは、Vault レシーバが正しく構成されていることを確認する方法について説明します。Ops エージェントがテレメトリーの収集を開始するまでに 1~2 分かかる場合があります。

Vault ログが Cloud Logging に送信されていることを確認するには、次のようにします。

  1. Google Cloud コンソールのナビゲーション パネルで、[ロギング] を選択してから、[ログ エクスプローラ] を選択します。

    [ログ エクスプローラ] に移動

  2. エディタに次のクエリを入力し、[クエリを実行] をクリックします。
    resource.type="gce_instance"
log_id("vault_audit")

Vault 指標が Cloud Monitoring に送信されていることを確認するには、次のようにします。

  1. Google Cloud コンソールのナビゲーション パネルで [Monitoring] を選択し、次に [ Metrics Explorer] を選択します。

    Metrics Explorer に移動

  2. クエリビルダー ペインのツールバーで、名前が [MQL] または  [PromQL] のボタンを選択します。
  3. [言語] 切り替えで [MQL] が選択されていることを確認します。言語切り替えボタンは、クエリの書式設定を行うのと同じツールバーにあります。
  4. エディタに次のクエリを入力し、[クエリを実行] をクリックします。
    fetch gce_instance
| metric 'workload.googleapis.com/vault.memory.usage'
| every 1m

ダッシュボードを表示する

Vault 指標を表示するには、グラフまたはダッシュボードが構成されている必要があります。Vault インテグレーションには、1 つ以上のダッシュボードが含まれています。インテグレーションを構成して Ops エージェントが指標データの収集を開始すると、ダッシュボードは自動的にインストールされます。

インテグレーションをインストールすることなく、ダッシュボードの静的プレビューを表示することもできます。

インストールされているダッシュボードを表示する手順は次のとおりです。

  1. Google Cloud コンソールのナビゲーション パネルで、[Monitoring] を選択してから、[ダッシュボード] を選択します。

    [ダッシュボード] に移動

  2. [ダッシュボード リスト] タブを選択し、[統合] カテゴリを選択します。
  3. 表示するダッシュボードの名前をクリックします。

インテグレーションを構成してもダッシュボードがインストールされていない場合は、Ops エージェントが実行されていることを確認します。ダッシュボードにグラフの指標データがない場合、ダッシュボードのインストールは失敗します。Ops エージェントが指標の収集を開始した後に、ダッシュボードがインストールされます。

ダッシュボードの静的プレビューを表示する手順は次のとおりです。

  1. Google Cloud コンソールのナビゲーション パネルで、[Monitoring] を選択してから、[インテグレーション] を選択します。

    [インテグレーション] に移動

  2. [デプロイメント プラットフォーム] フィルタの [Compute Engine] をクリックします。
  3. Vault のエントリを見つけて [詳細を表示] をクリックします。
  4. [ダッシュボード] タブを選択すると、静的プレビューが表示されます。ダッシュボードがインストールされている場合は、[ダッシュボードを表示] をクリックして移動できます。

Cloud Monitoring のダッシュボードについて詳しくは、ダッシュボードとグラフをご覧ください。

[インテグレーション] ページの使用方法については、インテグレーションを管理するをご覧ください。

アラート ポリシーをインストールする

アラート ポリシーは、指定した条件が成立した際に通知するように Cloud Monitoring に指示します。Vault インテグレーションには、使用する 1 つ以上のアラート ポリシーが含まれています。これらのアラート ポリシーは、Monitoring の [インテグレーション] ページで表示してインストールできます。

使用可能なアラート ポリシーの説明を表示してインストールする手順は次のとおりです。

  1. Google Cloud コンソールのナビゲーション パネルで、[Monitoring] を選択してから、[インテグレーション] を選択します。

    [インテグレーション] に移動

  2. Vault のエントリを見つけて [詳細を表示] をクリックします。
  3. [アラート] タブを選択します。このタブには、利用可能なアラート ポリシーの説明と、それらをインストールするためのインターフェースが表示されます。
  4. アラート ポリシーをインストールします。アラート ポリシーでは、アラートがトリガーされた通知の送信先を特定する必要があるため、インストール環境の情報が必要になります。アラート ポリシーをインストールする手順は次のとおりです。
    1. 利用可能なアラート ポリシーのリストから、インストールするアラート ポリシーを選択します。

    2. [通知の構成] セクションで、1 つ以上の通知チャンネルを選択します。通知チャンネルの使用を無効にすることもできますが、無効にすると、アラート ポリシーは通知なく起動します。Monitoring でステータスを確認できますが、通知は受信しません。

      通知チャンネルの詳細については、通知チャンネルを管理するをご覧ください。

    3. [ポリシーの作成] をクリックします。

Cloud Monitoring のアラート ポリシーの詳細については、アラートの概要をご覧ください。

[インテグレーション] ページの使用方法については、インテグレーションを管理するをご覧ください。

次のステップ

Ansible を使用して Ops エージェントをインストールし、サードパーティ アプリケーションを構成してサンプル ダッシュボードをインストールする方法については、Ops エージェントをインストールして、サードパーティ アプリケーションのトラブルシューティングを行うの動画をご覧ください。