HashiCorp Vault

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Vault は、ID ベースの Secret と暗号化の管理システムです。この統合により、Vault の監査ログを収集します。 この統合では、トークン、メモリ、ストレージの指標も収集されます。

Vault の詳細については、Hashicorp Vault のドキュメントをご覧ください。

前提条件

Vault テレメトリーを収集するには、Ops エージェントをインストールする必要があります。

  • 指標の場合は、バージョン 2.18.2 以降をインストールします。
  • ログの場合は、バージョン 2.18.1 以降をインストールします。

この統合は、Vault バージョン 1.6 以降をサポートしています。

Vault インスタンスを構成する

Vault インスタンスからテレメトリーを収集するには、HCL または JSON Vault の構成ファイルで prometheus_retention_time フィールドをゼロ以外の値に設定する必要があります。

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

また、監査ログの収集を有効にして、Prometheus 指標 ACL ポリシーを作成するには、root ユーザーが必要です。ルートトークンは、読み込み特性のポリシーを /sys/metrics エンドポイントに追加するために使用されます。このポリシーは、Vault 指標を収集するのに十分な権限を持つ Vault トークンを作成するために使用されます。

Vault を初めて初期化する場合は、次のスクリプトを使用してルートトークンを生成できます。ルートトークンの生成に関する詳細については、シール解除キーを使用したルートトークンの生成をご覧ください。

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Vault 用に Ops エージェントを構成する

Ops エージェントの構成のガイドに従って、Vault インスタンスからテレメトリーを収集するために必要な要素を追加し、エージェントを再起動します。

構成の例

次のコマンドは、Vault のテレメトリーを収集して取り込み、Ops エージェントを再起動するための構成を作成します。

# Configures Ops Agent to collect telemetry from the app and restart Ops Agent.

set -e

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)

sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

sudo service google-cloud-ops-agent restart

ログの収集を構成する

Vault からログを取り込むには、Vault が生成するログのレシーバを作成してから、新しいレシーバ用のパイプラインを作成する必要があります。

vault_audit ログのレシーバを構成するには、次のフィールドを指定します。

項目 デフォルト 説明
exclude_paths include_paths の照合で除外するファイルシステム パスのパターンのリスト。
include_paths 各ファイルのテーリングで読み込むファイルシステムのパスのリスト。パスにはワイルドカード(*)を使用できます。
record_log_file_path false true に設定すると、ログレコードの取得元のファイルのパスが agent.googleapis.com/log_file_path ラベルの値として出力ログエントリに表示されます。ワイルドカードを使用する場合、レコードを取得したファイルのパスのみが記録されます。
type 値には vault_audit を指定してください。
wildcard_refresh_interval 60s include_paths のワイルドカード ファイルのパスの更新間隔。時間を指定します(例: 30s2m)。このプロパティは、ログファイルのローテーションがデフォルトの間隔よりも速く、ロギングのスループットが高い場合に有用です。

ログの内容

logName は、構成で指定されたレシーバ ID から取得されます。LogEntry 内の詳細なフィールドは、次のとおりです。

vault_audit ログの LogEntry には次のフィールドが含まれます。

フィールド タイプ 説明
jsonPayload.auth 構造体
jsonPayload.auth.accessor 文字列 これは、クライアント トークン アクセサーの HMAC です。
jsonPayload.auth.client_token 文字列 これは、クライアントのトークン ID の HMAC です。
jsonPayload.auth.display_name 文字列 これは、認証メソッドのロールによって設定された表示名か、Secret の作成時に明示的に設定された表示名です。
jsonPayload.auth.entity_id 文字列 これはトークン エンティティ ID です。
jsonPayload.auth.metadata オブジェクト これは、client_token に関連付けられたメタデータの Key-Value ペアのリストを含みます。
jsonPayload.auth.policies オブジェクト これは、client_token に関連付けられたポリシーのリストを含みます。
jsonPayload.auth.token_type 文字列
jsonPayload.error 文字列 リクエストでエラーが発生した場合、このフィールドの値にはエラー メッセージが含まれます。
jsonPayload.request 構造体
jsonPayload.request.client_token 文字列 これは、クライアントのトークン ID の HMAC です。
jsonPayload.request.client_token_accessor 文字列 これは、クライアント トークン アクセサーの HMAC です。
jsonPayload.request.data オブジェクト データ オブジェクトは、Key-Value ペアの Secret データを含みます。
jsonPayload.request.headers オブジェクト リクエストの一部としてクライアントによって指定された追加の HTTP ヘッダー。
jsonPayload.request.id 文字列 これは一意のリクエスト ID です。
jsonPayload.request.namespace.id 文字列
jsonPayload.request.operation 文字列 これはパスの特性に対応するオペレーションのタイプであり、createreadupdatedeletelist のいずれかが想定されています。
jsonPayload.request.path 文字列 リクエストされたオペレーション用の Vault のパス。
jsonPayload.request.policy_override ブール値 ソフト必須ポリシーのオーバーライドがリクエストされた場合、これは true です。
jsonPayload.request.remote_address 文字列 リクエストを行っているクライアントの IP アドレス。
jsonPayload.request.wrap_ttl 文字列 トークンがラップされている場合、これは構成済みのラップされた TTL 値を数値文字列として表示します。
jsonPayload.response 構造体
jsonPayload.response.data.accessor 文字列 これは、クライアント トークン アクセサーの HMAC です。
jsonPayload.response.data.creation_time 文字列 トークン作成の RFC 3339 形式のタイムスタンプ。
jsonPayload.response.data.creation_ttl 文字列 トークン作成の TTL(秒)。
jsonPayload.response.data.display_name 文字列 これは、認証メソッドのロールによって設定された表示名か、Secret の作成時に明示的に設定された表示名です。
jsonPayload.response.data.entity_id 文字列 これはトークン エンティティ ID です。
jsonPayload.response.data.expire_time 文字列 このトークンの有効期限が切れる時点を表す RFC 3339 形式のタイムスタンプ。
jsonPayload.response.data.explicit_max_ttl 文字列 明示的なトークンの最大 TTL 値(秒)(設定していない場合は 0)。
jsonPayload.response.data.id 文字列 これはレスポンスの一意の ID です。
jsonPayload.response.data.issue_time 文字列 RFC 3339 形式のタイムスタンプ。
jsonPayload.response.data.num_uses 数値 トークンが使用者の数に制限されている場合、その値がここに表示されます。
jsonPayload.response.data.orphan ブール値 トークンが独立しているかどうかを示すブール値。
jsonPayload.response.data.path 文字列 リクエストされたオペレーション用の Vault のパス。
jsonPayload.response.data.policies オブジェクト これは、client_token に関連付けられたポリシーのリストを含みます。
jsonPayload.response.data.renewable ブール値 トークンが独立しているかどうかを示すブール値。
jsonPayload.type 文字列 監査ログのタイプ。
severity 文字列
timestamp 文字列(Timestamp リクエストを受信した時刻

指標の収集を構成する

Vault から指標を取り込むには、Vault が生成する指標のレシーバを作成してから、新しいレシーバ用のパイプラインを作成する必要があります。

vault 指標のレシーバを構成するには、次のフィールドを指定します。

フィールド デフォルト 説明
ca_file CA 証明書のパス。クライアントとして、これによりサーバー証明書が検証されます。空の場合、レシーバはシステムルート CA を使用します。
cert_file mTLS で必要な接続に使用する TLS 証明書のパス。
collection_interval 60s time.Duration 値(30s5m など)。
endpoint localhost:8200 Vault で使用される hostname:port
insecure true セキュア TLS 接続を使用するかどうかを設定します。false に設定すると、TLS が有効になります。
insecure_skip_verify false 証明書の検証をスキップするかどうかを指定します。insecuretrue に設定されている場合、insecure_skip_verify の値は使用されません。
key_file mTLS で必要な接続に使用する TLS キーのパス。
metrics_path /v1/sys/metrics 指標収集のパス。
token localhost:8200 認証に使用されるトークン。
type 値は、vault にする必要があります。

モニタリング対象

次の表に、Ops エージェントが Vault インスタンスから収集する指標の一覧を示します。

指標タイプ
種類、タイプ
モニタリング対象リソース
ラベル
workload.googleapis.com/vault.audit.request.failed
CUMULATIVEINT64
gce_instance
 
workload.googleapis.com/vault.audit.response.failed
CUMULATIVEINT64
gce_instance
 
workload.googleapis.com/vault.core.leader.duration
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/vault.core.request.count
GAUGEINT64
gce_instance
cluster
workload.googleapis.com/vault.memory.usage
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/vault.storage.operation.delete.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.delete.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.storage.operation.get.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.get.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.storage.operation.list.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.list.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.storage.operation.put.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.put.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.token.count
GAUGEINT64
gce_instance
namespace
cluster
workload.googleapis.com/vault.token.lease.count
GAUGEINT64
gce_instance
 
workload.googleapis.com/vault.token.renew.time
GAUGEINT64
gce_instance
 
workload.googleapis.com/vault.token.revoke.time
GAUGEINT64
gce_instance
 

ダッシュボードの例

Vault 指標を表示するには、グラフまたはダッシュボードが構成されている必要があります。Cloud Monitoring には、統合用のサンプル ダッシュボードのライブラリが用意されています。ここには、事前に構成されたグラフが含まれています。これらのダッシュボードのインストールについては、サンプル ダッシュボードのインストールをご覧ください。

構成を確認する

このセクションでは、Vault レシーバが正しく構成されていることを確認する方法について説明します。Ops エージェントがテレメトリーの収集を開始するまでに 1~2 分かかる場合があります。

ログが取り込まれていることを確認するには、ログ エクスプローラに移動し、次のクエリを実行して Vault のログを表示します。

resource.type="gce_instance"
log_id("vault_audit")

指標が取り込まれていることを確認するには、Metrics Explorer に移動し、[MQL] タブで次のクエリを実行します。

fetch gce_instance
| metric 'workload.googleapis.com/vault.memory.usage'
| every 1m

次のステップ

Ansible を使用して Ops エージェントをインストールし、サードパーティ アプリケーションを構成してサンプル ダッシュボードをインストールする方法については、Ops エージェントをインストールして、サードパーティ アプリケーションのトラブルシューティングを行うの動画をご覧ください。