Vault는 ID 기반 보안 비밀 및 암호화 관리 시스템입니다. 이 통합은 Vault의 감사 로그를 수집합니다. 또한 이 통합은 토큰, 메모리, 스토리지 측정항목도 수집합니다.
Vault에 대한 자세한 내용은 HashiCorp Vault 문서를 참조하세요.
기본 요건
IIS 원격 분석을 수집하려면 운영 에이전트를 설치해야 합니다.
- 측정항목의 경우 버전 2.18.2 이상을 설치합니다.
- 로그의 경우 버전 2.18.1 이상을 설치합니다.
이 통합은 Vault 버전 1.6 이상을 지원합니다.
Vault 인스턴스 구성
Vault 인스턴스에서 원격 분석을 수집하려면 HCL 또는 JSON Vault 구성 파일에서 prometheus_retention_time
필드를 0이 아닌 값으로 설정해야 합니다.
Full configuration options can be found at https://www.vaultproject.io/docs/configuration telemetry { prometheus_retention_time = "10m" disable_hostname = false }
또한 루트 사용자는 감사 로그 수집을 사용 설정하고 prometheus-metrics ACL 정책을 만들어야 합니다.
루트 토큰은 읽기 기능이 있는 정책을 /sys/metrics
엔드포인트에 추가하는 데 사용됩니다.
이 정책은 Vault 측정항목을 수집할 수 있는 충분한 권한이 있는 Vault 토큰을 만드는 데 사용됩니다.
Vault를 처음 초기화하는 경우 다음 스크립트를 사용하여 루트 토큰을 생성할 수 있습니다. 그렇지 않은 경우 루트 토큰 생성에 대한 자세한 내용은 해제 키를 사용하여 루트 토큰 생성을 참조하세요.
export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1' .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY
# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log
# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
capabilities = ["read"]
}
EOF
# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token
Vault용 운영 에이전트 구성
운영 에이전트 구성 가이드에 따라 Vault 인스턴스에서 원격 분석을 수집하는 데 필요한 요소를 추가하고 에이전트를 다시 시작합니다.
구성 예시
다음 명령어는 Vault용 원격 분석을 수집하고 처리하는 구성을 만들고 운영 에이전트를 다시 시작합니다.
로그 수집 구성
Vault에서 로그를 수집하려면 Vault에서 생성하는 로그의 수신자를 만든 후 새 수신자의 파이프라인을 만들어야 합니다.
vault_audit
로그의 수신자를 구성하려면 다음 필드를 지정합니다.
필드 | 기본값 | 설명 |
---|---|---|
exclude_paths |
include_paths 중에서 일치하는 집합에서 제외할 파일 시스템 경로 패턴의 목록입니다. |
|
include_paths |
각 파일을 테일링하여 읽을 파일 시스템 경로의 목록입니다. 와일드 카드(* )를 경로에 사용할 수 있습니다. |
|
record_log_file_path |
false |
true 로 설정된 경우 로그 레코드를 가져온 특정 파일의 경로가 출력 로그 항목에 agent.googleapis.com/log_file_path 라벨 값으로 표시됩니다. 와일드 카드를 사용할 경우 레코드를 가져온 파일의 경로만 기록됩니다. |
type |
값은 vault_audit 여야 합니다. |
|
wildcard_refresh_interval |
60s |
include_paths 의 와일드 카드 파일 경로가 새로 고쳐지는 간격입니다. 기간(예: 30s 또는 2m )으로 지정됩니다. 이 속성은 로그 파일이 기본 간격보다 빠르게 순환되는 높은 로깅 처리량에서 유용할 수 있습니다. |
로깅되는 내용
logName
은 구성에 지정된 수신자 ID에서 파생됩니다. LogEntry
내의 자세한 필드는 다음과 같습니다.
vault_audit
로그에는 LogEntry
의 다음 필드가 포함됩니다.
필드 | 유형 | 설명 |
---|---|---|
jsonPayload.auth |
구조체 | |
jsonPayload.auth.accessor |
문자열 | 클라이언트 토큰 접근자의 HMAC입니다. |
jsonPayload.auth.client_token |
문자열 | 클라이언트 토큰 ID의 HMAC입니다. |
jsonPayload.auth.display_name |
문자열 | 인증 메서드 역할별로 설정되거나 보안 비밀 생성 시 명시적으로 표시되는 표시 이름입니다. |
jsonPayload.auth.entity_id |
문자열 | 토큰 항목 식별자입니다. |
jsonPayload.auth.metadata |
객체 | 여기에는 client_token과 연결된 메타데이터 키-값 쌍의 목록이 포함됩니다. |
jsonPayload.auth.policies |
객체 | client_token과 관련된 정책 목록이 포함됩니다. |
jsonPayload.auth.token_type |
문자열 | |
jsonPayload.error |
문자열 | 요청에서 오류가 발생한 경우 이 필드의 값에 오류 메시지가 포함됩니다. |
jsonPayload.request |
구조체 | |
jsonPayload.request.client_token |
문자열 | 클라이언트 토큰 ID의 HMAC입니다. |
jsonPayload.request.client_token_accessor |
문자열 | 클라이언트 토큰 접근자의 HMAC입니다. |
jsonPayload.request.data |
객체 | 데이터 객체는 키-값 쌍의 보안 비밀 데이터를 포함합니다. |
jsonPayload.request.headers |
객체 | 클라이언트가 요청의 일부로 지정하는 추가 HTTP 헤더입니다. |
jsonPayload.request.id |
문자열 | 고유 요청 식별자입니다. |
jsonPayload.request.namespace.id |
문자열 | |
jsonPayload.request.operation |
문자열 | 경로 기능에 해당하는 작업 유형으로 create , read , update , delete , list 중 하나여야 합니다. |
jsonPayload.request.path |
문자열 | 작업에 대해 요청된 Vault 경로입니다. |
jsonPayload.request.policy_override |
부울 | 소프트 필수 정책 재정의가 요청된 경우 true 입니다. |
jsonPayload.request.remote_address |
문자열 | 요청하는 클라이언트의 IP 주소입니다. |
jsonPayload.request.wrap_ttl |
문자열 | 토큰이 래핑된 경우 구성된 래핑 TTL 값이 숫자 문자열로 표시됩니다. |
jsonPayload.response |
구조체 | |
jsonPayload.response.data.accessor |
문자열 | 클라이언트 토큰 접근자의 HMAC입니다. |
jsonPayload.response.data.creation_time |
문자열 | 토큰 생성의 RFC 3339 형식 타임스탬프입니다. |
jsonPayload.response.data.creation_ttl |
문자열 | 토큰 생성 TTL(초)입니다. |
jsonPayload.response.data.display_name |
문자열 | 인증 메서드 역할별로 설정되거나 보안 비밀 생성 시 명시적으로 표시되는 표시 이름입니다. |
jsonPayload.response.data.entity_id |
문자열 | 토큰 항목 식별자입니다. |
jsonPayload.response.data.expire_time |
문자열 | 이 토큰이 만료되는 시점을 나타내는 RFC 3339 형식 타임스탬프입니다. |
jsonPayload.response.data.explicit_max_ttl |
문자열 | 명시적 토큰 최대 TTL 값(초)입니다(설정되지 않은 경우 '0'). |
jsonPayload.response.data.id |
문자열 | 고유 응답 식별자입니다. |
jsonPayload.response.data.issue_time |
문자열 | RFC 3339 형식 타임스탬프입니다. |
jsonPayload.response.data.num_uses |
숫자 | 토큰이 여러 사용으로 제한되는 경우 여기에 해당 값이 표시됩니다. |
jsonPayload.response.data.orphan |
부울 | 토큰이 분리된 항목인지 여부를 나타내는 불리언 값입니다. |
jsonPayload.response.data.path |
문자열 | 작업에 대해 요청된 Vault 경로입니다. |
jsonPayload.response.data.policies |
객체 | client_token과 관련된 정책 목록이 포함됩니다. |
jsonPayload.response.data.renewable |
부울 | 토큰이 분리된 항목인지 여부를 나타내는 불리언 값입니다. |
jsonPayload.type |
문자열 | 감사 로그 유형입니다. |
severity |
문자열 | |
timestamp |
문자열(Timestamp ) |
요청이 수신된 시간 |
측정항목 수집 구성
Vault에서 측정항목을 수집하려면 Vault에서 생성하는 측정항목의 수신자를 만든 후 새 수신자의 파이프라인을 만들어야 합니다.
이 수신자는 구성에서 여러 인스턴스 모니터링과 같은 여러 인스턴스의 사용을 지원하지 않습니다. 이러한 모든 인스턴스는 동일한 시계열에 기록되며, Cloud Monitoring은 이를 구분할 수 있는 방법이 없습니다.
vault
측정항목의 수신자를 구성하려면 다음 필드를 지정합니다.
필드 | 기본값 | 설명 |
---|---|---|
ca_file |
CA 인증서의 경로입니다. 클라이언트로서 서버 인증서를 확인합니다. 비어있으면 수신자는 시스템 루트 CA를 사용합니다. | |
cert_file |
mTLS 필수 연결에 사용할 TLS 인증서의 경로입니다. | |
collection_interval |
60s |
time.Duration 값(예: 30s 또는 5m ) |
endpoint |
localhost:8200 |
Vault에서 사용하는 'hostname:port' |
insecure |
true |
보안 TLS 연결을 사용할지 여부를 설정합니다. false 로 설정하면 TLS가 사용 설정됩니다. |
insecure_skip_verify |
false |
인증서 확인을 건너뛸지 여부를 설정합니다. insecure 가 true 로 설정된 경우 'insecure_skip_verify` 값이 사용되지 않습니다. |
key_file |
mTLS 필수 연결에 사용할 TLS 키의 경로입니다. | |
metrics_path |
/v1/sys/metrics |
측정항목 수집 경로입니다. |
token |
localhost:8200 |
인증에 사용되는 토큰입니다. |
type |
값은 vault 여야 합니다. |
모니터링 대상
다음 테이블에서는 운영 에이전트가 Vault 인스턴스에서 수집하는 측정항목 목록을 보여줍니다.
측정항목 유형 | |
---|---|
종류, 유형 모니터링 리소스 |
라벨 |
workload.googleapis.com/vault.audit.request.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.audit.response.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.core.leader.duration
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.core.request.count
|
|
GAUGE , INT64 gce_instance |
cluster
|
workload.googleapis.com/vault.memory.usage
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.storage.operation.delete.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.delete.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.token.count
|
|
GAUGE , INT64 gce_instance |
namespace
cluster
|
workload.googleapis.com/vault.token.lease.count
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.renew.time
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.revoke.time
|
|
GAUGE , INT64 gce_instance |
구성 확인
이 섹션에서는 Vault 수신자를 올바르게 구성했는지 확인하는 방법을 설명합니다. 운영 에이전트에서 원격 분석 수집을 시작하려면 1~2분 정도 걸릴 수 있습니다.
Vault 로그가 Cloud Logging으로 전송되고 있는지 확인하려면 다음을 수행합니다.
-
Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.
- 편집기에 다음 쿼리를 입력한 후 쿼리 실행을 클릭합니다.
resource.type="gce_instance" log_id("vault_audit")
Vault 측정항목이 Cloud Monitoring으로 전송되고 있는지 확인하려면 다음을 수행합니다.
-
Google Cloud 콘솔에서 leaderboard 측정항목 탐색기 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.
- 쿼리 빌더 창의 툴바에서 이름이 code MQL 또는 code MQL인 버튼을 선택합니다.
- MQL 전환 버튼에 MQL이 선택되어 있는지 확인합니다. 언어 전환 버튼은 쿼리 형식을 지정할 수 있는 동일한 툴바에 있습니다.
- 편집기에 다음 쿼리를 입력한 후 쿼리 실행을 클릭합니다.
fetch gce_instance | metric 'workload.googleapis.com/vault.memory.usage' | every 1m
대시보드 보기
Vault 측정항목을 보려면 차트 또는 대시보드가 구성되어 있어야 합니다. Vault 통합에는 대시보드가 하나 이상 포함됩니다. 통합을 구성하고 운영 에이전트가 측정항목 데이터 수집을 시작한 후 모든 대시보드가 자동으로 설치됩니다.
통합을 설치하지 않고도 대시보드의 정적 미리보기를 볼 수 있습니다.
설치된 대시보드를 보려면 다음을 수행합니다.
-
Google Cloud 콘솔에서 대시보드 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.
- 대시보드 목록 탭을 선택한 후 통합 카테고리를 선택합니다.
- 확인할 대시보드의 이름을 클릭합니다.
통합을 구성했지만 대시보드가 설치되지 않은 경우 운영 에이전트가 실행 중인지 확인합니다. 대시보드에 차트의 측정항목 데이터가 없으면 대시보드 설치가 실패합니다. 운영 에이전트가 측정항목 수집을 시작하면 대시보드가 자동으로 설치됩니다.
대시보드의 정적 미리보기를 보려면 다음을 수행합니다.
-
Google Cloud 콘솔에서 통합 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.
- Compute Engine 배포 플랫폼 필터를 클릭합니다.
- Vault 항목을 찾고 세부정보 보기를 클릭합니다.
- 정적 미리보기를 보려면 대시보드 탭을 선택합니다. 대시보드가 설치되어 있으면 대시보드 보기를 클릭하여 대시보드로 이동할 수 있습니다.
Cloud Monitoring의 대시보드에 대한 자세한 내용은 대시보드 및 차트를 참조하세요.
통합 페이지 사용에 대한 자세한 내용은 통합 관리를 참조하세요.
알림 정책 설치
알림 정책은 지정된 조건이 발생할 때 Cloud Monitoring에서 알림을 받도록 지시합니다. Vault 통합에는 사용할 알림 정책이 하나 이상 포함됩니다. Monitoring의 통합 페이지에서 이러한 알림 정책을 보고 설치할 수 있습니다.
사용 가능한 알림 정책에 대한 설명을 보고 설치하려면 다음을 수행합니다.
-
Google Cloud 콘솔에서 통합 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.
- Vault 항목을 찾고 세부정보 보기를 클릭합니다.
- 알림 탭을 선택합니다. 이 탭에는 사용 가능한 알림 정책에 대한 설명과 이를 설치하기 위한 인터페이스가 제공됩니다.
- 알림 정책을 설치합니다. 알림 정책은 경고가 트리거되었다는 알림을 전송할 위치를 알아야 하므로, 설치 시 사용자에게 해당 정보를 요청합니다.
알림 정책을 설치하려면 다음을 수행합니다.
- 사용 가능한 알림 정책 목록에서 설치할 정책을 선택합니다.
알림 구성 섹션에서 알림 채널을 하나 이상 선택합니다. 알림 채널 사용을 중지할 수 있지만 사용 중지하면 알림 정책이 자동으로 실행됩니다. Monitoring에서 상태를 확인할 수 있지만 알림이 수신되지 않습니다.
알림 채널에 대한 자세한 내용은 알림 채널 관리를 참조하세요.
- 정책 만들기를 클릭합니다.
Cloud Monitoring의 알림 정책에 대한 자세한 내용은 알림 소개를 참조하세요.
통합 페이지 사용에 대한 자세한 내용은 통합 관리를 참조하세요.
다음 단계
Ansible을 사용하여 운영 에이전트를 설치하고, 서드파티 애플리케이션을 구성하고, 샘플 대시보드를 설치하는 방법은 운영 에이전트를 설치하여 서드파티 애플리케이션 문제 해결 동영상을 참조하세요.