HashiCorp Vault

Vault は、ID ベースの Secret と暗号化の管理システムです。この統合により、Vault の監査ログが収集されます。この統合では、トークン、メモリ、ストレージの指標も収集されます。

Vault の詳細については、Hashicorp Vault のドキュメントをご覧ください。

前提条件

Vault テレメトリーを収集するには、Ops エージェントをインストールする必要があります。

指標の場合は、バージョン 2.18.2 以降をインストールします。
ログの場合は、バージョン 2.18.1 以降をインストールします。

この統合は、Vault バージョン 1.6 以降をサポートしています。

Vault インスタンスを構成する

Vault インスタンスからテレメトリーを収集するには、HCL または JSON Vault の構成ファイルで prometheus_retention_time フィールドをゼロ以外の値に設定する必要があります。

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

また、監査ログの収集を有効にして、Prometheus 指標 ACL ポリシーを作成するには、root ユーザーが必要です。ルートトークンは、読み込み特性のポリシーを /sys/metrics エンドポイントに追加するために使用されます。このポリシーは、Vault 指標を収集するのに十分な権限を持つ Vault トークンを作成するために使用されます。

Vault を初めて初期化する場合は、次のスクリプトを使用してルートトークンを生成できます。ルートトークンの生成に関する詳細については、シール解除キーを使用したルートトークンの生成をご覧ください。

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Vault 用に Ops エージェントを構成する

Ops エージェントの構成のガイドに従って、Vault インスタンスからテレメトリーを収集するために必要な要素を追加し、エージェントを再起動します。

構成の例

次のコマンドは、Vault のテレメトリーを収集して取り込むための構成を作成します。

# Configures Ops Agent to collect telemetry from the app. You must restart the agent for the configuration to take effect.

set -e

# Check if the file exists
if [ ! -f /etc/google-cloud-ops-agent/config.yaml ]; then
  # Create the file if it doesn't exist.
  sudo mkdir -p /etc/google-cloud-ops-agent
  sudo touch /etc/google-cloud-ops-agent/config.yaml
fi

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)


sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

これらの変更を有効にするには、Ops エージェントを再起動する必要があります。

Linux

エージェントを再起動するには、インスタンスで次のコマンドを実行します。
```
sudo systemctl restart google-cloud-ops-agent
```
エージェントが再起動したことを確認するには、次のコマンドを実行して「Metrics Agent」と「Logging エージェント」のコンポーネントが起動したことを確認します。
```
sudo systemctl status "google-cloud-ops-agent*"
```

Windows

RDP または同様のツールを使用してインスタンスに接続し、Windows にログインします。
PowerShell アイコンを右クリックし、[管理者として実行] を選択して、管理者権限で PowerShell ターミナルを開きます。
エージェントを再起動するには、次の PowerShell コマンドを実行します。
```
Restart-Service google-cloud-ops-agent -Force
```
エージェントが再起動したことを確認するには、次のコマンドを実行して「Metrics Agent」と「Logging エージェント」のコンポーネントが起動したことを確認します。
```
Get-Service google-cloud-ops-agent*
```

ログの収集を構成する

Vault からログを取り込むには、Vault が生成するログのレシーバーを作成してから、新しいレシーバー用のパイプラインを作成する必要があります。

vault_audit ログのレシーバを構成するには、次のフィールドを指定します。

フィールド	デフォルト	説明
`exclude_paths`		`include_paths` の照合で除外するファイルシステムパスのパターンのリスト。
`include_paths`		各ファイルのテーリングで読み込むファイルシステムのパスのリスト。パスにはワイルドカード（`*`）を使用できます。
`record_log_file_path`	`false`	`true` に設定すると、ログレコードの取得元のファイルのパスが `agent.googleapis.com/log_file_path` ラベルの値として出力ログエントリに表示されます。ワイルドカードを使用する場合、レコードを取得したファイルのパスのみが記録されます。
`type`		値には `vault_audit` を指定してください。
`wildcard_refresh_interval`	`60s`	`include_paths` のワイルドカードファイルのパスの更新間隔。期間を指定します（例: `30s`、`2m`）。このプロパティは、ログファイルのローテーションがデフォルトの間隔よりも速く、ロギングのスループットが高い場合に有用です。

ログの内容

logName は、構成で指定されたレシーバー ID から取得されます。LogEntry 内の詳細なフィールドは、次のとおりです。

vault_audit ログの LogEntry には次のフィールドが含まれます。

フィールド	タイプ	説明
`jsonPayload.auth`	構造体
`jsonPayload.auth.accessor`	文字列	これは、クライアントトークンアクセサーの HMAC です。
`jsonPayload.auth.client_token`	文字列	これは、クライアントのトークン ID の HMAC です。
`jsonPayload.auth.display_name`	文字列	これは、認証メソッドのロールによって設定された表示名か、Secret の作成時に明示的に設定された表示名です。
`jsonPayload.auth.entity_id`	文字列	これはトークンエンティティ ID です。
`jsonPayload.auth.metadata`	オブジェクト	これは、client_token に関連付けられたメタデータの Key-Value ペアのリストを含みます。
`jsonPayload.auth.policies`	オブジェクト	これは、client_token に関連付けられたポリシーのリストを含みます。
`jsonPayload.auth.token_type`	文字列
`jsonPayload.error`	文字列	リクエストでエラーが発生した場合、このフィールドの値にはエラーメッセージが含まれます。
`jsonPayload.request`	構造体
`jsonPayload.request.client_token`	文字列	これは、クライアントのトークン ID の HMAC です。
`jsonPayload.request.client_token_accessor`	文字列	これは、クライアントトークンアクセサーの HMAC です。
`jsonPayload.request.data`	オブジェクト	データオブジェクトは、Key-Value ペアの Secret データを含みます。
`jsonPayload.request.headers`	オブジェクト	リクエストの一部としてクライアントによって指定された追加の HTTP ヘッダー。
`jsonPayload.request.id`	文字列	これは一意のリクエスト ID です。
`jsonPayload.request.namespace.id`	文字列
`jsonPayload.request.operation`	文字列	これはパスの特性に対応するオペレーションのタイプであり、`create`、`read`、`update`、`delete`、`list` のいずれかが想定されています。
`jsonPayload.request.path`	文字列	リクエストされたオペレーション用の Vault のパス。
`jsonPayload.request.policy_override`	ブール値	ソフト必須ポリシーのオーバーライドがリクエストされた場合、これは `true` です。
`jsonPayload.request.remote_address`	文字列	リクエストを行っているクライアントの IP アドレス。
`jsonPayload.request.wrap_ttl`	文字列	トークンがラップされている場合、これは構成済みのラップされた TTL 値を数値文字列として表示します。
`jsonPayload.response`	構造体
`jsonPayload.response.data.accessor`	文字列	これは、クライアントトークンアクセサーの HMAC です。
`jsonPayload.response.data.creation_time`	文字列	トークン作成の RFC 3339 形式のタイムスタンプ。
`jsonPayload.response.data.creation_ttl`	文字列	トークン作成の TTL（秒）。
`jsonPayload.response.data.display_name`	文字列	これは、認証メソッドのロールによって設定された表示名か、Secret の作成時に明示的に設定された表示名です。
`jsonPayload.response.data.entity_id`	文字列	これはトークンエンティティ ID です。
`jsonPayload.response.data.expire_time`	文字列	このトークンの有効期限が切れる時点を表す RFC 3339 形式のタイムスタンプ。
`jsonPayload.response.data.explicit_max_ttl`	文字列	明示的なトークンの最大 TTL 値（秒）（設定していない場合は 0）。
`jsonPayload.response.data.id`	文字列	これはレスポンスの一意の ID です。
`jsonPayload.response.data.issue_time`	文字列	RFC 3339 形式のタイムスタンプ。
`jsonPayload.response.data.num_uses`	数値	トークンが使用者の数に制限されている場合、その値がここに表示されます。
`jsonPayload.response.data.orphan`	ブール値	トークンが独立しているかどうかを示すブール値。
`jsonPayload.response.data.path`	文字列	リクエストされたオペレーション用の Vault のパス。
`jsonPayload.response.data.policies`	オブジェクト	これは、client_token に関連付けられたポリシーのリストを含みます。
`jsonPayload.response.data.renewable`	ブール値	トークンが独立しているかどうかを示すブール値。
`jsonPayload.type`	文字列	監査ログのタイプ。
`severity`	文字列（`LogSeverity`）	ログエントリレベル（変換済み）。

指標の収集を構成する

Vault から指標を取り込むには、Vault が生成する指標のレシーバーを作成してから、新しいレシーバー用のパイプラインを作成する必要があります。

このレシーバーでは、複数のエンドポイントのモニタリングなど、構成で複数のインスタンスを使用することはできません。このようなインスタンスはすべて同じ時系列に書き込まれるため、Cloud Monitoring ではインスタンスを区別できません。

vault 指標のレシーバーを構成するには、次のフィールドを指定します。

フィールド	デフォルト	説明
`ca_file`		CA 証明書のパス。クライアントとして、これによりサーバー証明書が検証されます。空の場合、レシーバーはシステムルート CA を使用します。
`cert_file`		mTLS で必要な接続に使用する TLS 証明書のパス。
`collection_interval`	`60s`	期間の値（例: `30s`、`5m`）。
`endpoint`	`localhost:8200`	Vault で使用されるホスト名とポート。「hostname:port」の形式です。
`insecure`	`true`	セキュア TLS 接続を使用するかどうかを設定します。`false` に設定すると、TLS が有効になります。
`insecure_skip_verify`	`false`	証明書の検証をスキップするかどうかを指定します。`insecure` が `true` に設定されている場合、`insecure_skip_verify` 値は使用されません。
`key_file`		mTLS で必要な接続に使用する TLS キーのパス。
`metrics_path`	`/v1/sys/metrics`	指標収集のパス。
`token`	`localhost:8200`	認証に使用されるトークン。
`type`		値は、`vault` にする必要があります。

モニタリング対象

次の表に、Ops エージェントが Vault インスタンスから収集する指標の一覧を示します。

指標タイプ
種類、タイプモニタリング対象リソース	ラベル
`workload.googleapis.com/vault.audit.request.failed`
`CUMULATIVE`、`INT64` gce_instance
`workload.googleapis.com/vault.audit.response.failed`
`CUMULATIVE`、`INT64` gce_instance
`workload.googleapis.com/vault.core.leader.duration`
`GAUGE`、`DOUBLE` gce_instance
`workload.googleapis.com/vault.core.request.count`
`GAUGE`、`INT64` gce_instance	`cluster`
`workload.googleapis.com/vault.memory.usage`
`GAUGE`、`DOUBLE` gce_instance
`workload.googleapis.com/vault.storage.operation.delete.count`
`CUMULATIVE`、`INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.delete.time`
`CUMULATIVE`、`DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.count`
`CUMULATIVE`、`INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.time`
`CUMULATIVE`、`DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.count`
`CUMULATIVE`、`INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.time`
`CUMULATIVE`、`DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.count`
`CUMULATIVE`、`INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.time`
`CUMULATIVE`、`DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.token.count`
`GAUGE`、`INT64` gce_instance	`cluster` `namespace`
`workload.googleapis.com/vault.token.lease.count`
`GAUGE`、`INT64` gce_instance
`workload.googleapis.com/vault.token.renew.time`
`GAUGE`、`INT64` gce_instance
`workload.googleapis.com/vault.token.revoke.time`
`GAUGE`、`INT64` gce_instance

構成を確認する

このセクションでは、Vault レシーバが正しく構成されていることを確認する方法について説明します。Ops エージェントがテレメトリーの収集を開始するまでに 1～2 分かかる場合があります。

Vault ログが Cloud Logging に送信されていることを確認するには、次のようにします。

Google Cloud コンソールで、[ログエクスプローラ] ページに移動します。
[ログエクスプローラ] に移動

検索バーを使用してこのページを検索する場合は、小見出しが「Logging」の結果を選択します。
エディタに次のクエリを入力し、[クエリを実行] をクリックします。
```
resource.type="gce_instance"
log_id("vault_audit")
```

Vault 指標が Cloud Monitoring に送信されていることを確認するには、次のようにします。

Google Cloud コンソールで Metrics explorer のページに移動します。
[Metrics Explorer] に移動

検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。
クエリビルダーペインのツールバーで、[MQL] または [PROMQL] という名前のボタンを選択します。
[言語] で [PromQL] が選択されていることを確認します。言語切り替えボタンは、クエリの書式設定と同じツールバーにあります。
エディタに次のクエリを入力し、[クエリを実行] をクリックします。
```
{"workload.googleapis.com/vault.memory.usage", monitored_resource="gce_instance"}
```

ダッシュボードを表示する

Vault 指標を表示するには、グラフまたはダッシュボードが構成されている必要があります。Vault インテグレーションには、1 つ以上のダッシュボードが含まれています。インテグレーションを構成して Ops エージェントが指標データの収集を開始すると、ダッシュボードは自動的にインストールされます。

インテグレーションをインストールすることなく、ダッシュボードの静的プレビューを表示することもできます。

インストールされているダッシュボードを表示する手順は次のとおりです。

Google Cloud コンソールで [ダッシュボード] ページに移動します。
[ダッシュボード] に移動

検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。
[ダッシュボードリスト] タブを選択し、[統合] カテゴリを選択します。
表示するダッシュボードの名前をクリックします。

インテグレーションを構成してもダッシュボードがインストールされていない場合は、Ops エージェントが実行されていることを確認します。ダッシュボードにグラフの指標データがない場合、ダッシュボードのインストールは失敗します。Ops エージェントが指標の収集を開始した後に、ダッシュボードがインストールされます。

ダッシュボードの静的プレビューを表示する手順は次のとおりです。

Google Cloud コンソールで [インテグレーション] ページに移動します。
[インテグレーション] に移動

検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。
[デプロイメントプラットフォーム] フィルタの [Compute Engine] をクリックします。
Vault のエントリを見つけて、[詳細を表示] をクリックします。
[ダッシュボード] タブを選択すると、静的プレビューが表示されます。ダッシュボードがインストールされている場合は、[ダッシュボードを表示] をクリックして移動できます。

Cloud Monitoring のダッシュボードについて詳しくは、ダッシュボードとグラフをご覧ください。

[インテグレーション] ページの使用方法については、インテグレーションを管理するをご覧ください。

アラートポリシーをインストールする

アラートポリシーは、指定した条件が成立した際に通知するように Cloud Monitoring に指示します。Vault インテグレーションには、使用する 1 つ以上のアラートポリシーが含まれています。これらのアラートポリシーは、Monitoring の [インテグレーション] ページで表示してインストールできます。

使用可能なアラートポリシーの説明を表示してインストールする手順は次のとおりです。

Google Cloud コンソールで [インテグレーション] ページに移動します。
[インテグレーション] に移動

検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。
Vault のエントリを見つけて、[詳細を表示] をクリックします。
[アラート] タブを選択します。このタブには、利用可能なアラートポリシーの説明と、それらをインストールするためのインターフェースが表示されます。
アラートポリシーをインストールします。アラートポリシーでは、アラートがトリガーされた通知の送信先を特定する必要があるため、インストール環境の情報が必要になります。アラートポリシーをインストールする手順は次のとおりです。
1. 利用可能なアラートポリシーのリストから、インストールするアラートポリシーを選択します。
2. [通知の構成] セクションで、1 つ以上の通知チャンネルを選択します。通知チャンネルの使用を無効にすることもできますが、無効にすると、アラートポリシーは通知なく起動します。Monitoring でステータスを確認できますが、通知は受信しません。
  
  通知チャンネルの詳細については、通知チャンネルを管理するをご覧ください。
3. [ポリシーの作成] をクリックします。

Cloud Monitoring のアラートポリシーの詳細については、アラートの概要をご覧ください。