Vault は、ID ベースの Secret と暗号化の管理システムです。この統合により、Vault の監査ログを収集します。この統合では、トークン、メモリ、ストレージの指標も収集されます。
Vault の詳細については、Hashicorp Vault のドキュメントをご覧ください。
前提条件
Vault テレメトリーを収集するには、Ops エージェントをインストールする必要があります。
- 指標の場合は、バージョン 2.18.2 以降をインストールします。
- ログの場合は、バージョン 2.18.1 以降をインストールします。
この統合は、Vault バージョン 1.6 以降をサポートしています。
Vault インスタンスを構成する
Vault インスタンスからテレメトリーを収集するには、HCL または JSON Vault の構成ファイルで prometheus_retention_time
フィールドをゼロ以外の値に設定する必要があります。
Full configuration options can be found at https://www.vaultproject.io/docs/configuration telemetry { prometheus_retention_time = "10m" disable_hostname = false }
また、監査ログの収集を有効にして、Prometheus 指標 ACL ポリシーを作成するには、root ユーザーが必要です。ルートトークンは、読み込み特性を持つポリシーを /sys/metrics
エンドポイントに追加するために使用されます。このポリシーは、Vault 指標を収集するのに十分な権限を持つ Vault トークンを作成するために使用されます。
Vault を初めて初期化する場合は、次のスクリプトを使用してルートトークンを生成できます。あるいは、ルートトークンを生成に関する情報について、シール解除キーを使用したルートトークンの生成をご覧ください。
export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1' .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY
# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log
# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
capabilities = ["read"]
}
EOF
# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token
Vault 用に Ops エージェントを構成する
Ops エージェントの構成のガイドに従って、Vault インスタンスからテレメトリーを収集するために必要な要素を追加し、エージェントを再起動します。
構成の例
次のコマンドは、Vault のテレメトリーを収集して取り込み、Ops エージェントを再起動するための構成を作成します。
ログの収集を構成する
Vault からログを取り込むには、Vault が生成するログのレシーバーを作成してから、新しいレシーバー用のパイプラインを作成する必要があります。
vault_audit
ログのレシーバを構成するには、次のフィールドを指定します。
フィールド | デフォルト | 説明 |
---|---|---|
exclude_paths |
include_paths の照合で除外するファイルシステム パスのパターンのリスト。 |
|
include_paths |
各ファイルのテーリングで読み込むファイルシステムのパスのリスト。パスにはワイルドカード(* )を使用できます。 |
|
record_log_file_path |
false |
true に設定すると、ログレコードの取得先のファイルのパスが agent.googleapis.com/log_file_path ラベルの値として出力ログエントリに表示されます。ワイルドカードを使用する場合、レコードを取得したファイルのパスのみが記録されます。 |
type |
値には vault_audit を指定してください。 |
|
wildcard_refresh_interval |
60s |
include_paths のワイルドカード ファイルのパスの更新間隔。期間を指定します(例: 30s 、2m )。このプロパティは、ログファイルのローテーションがデフォルトの間隔よりも速く、ロギングのスループットが高い場合に有用です。 |
ログの内容
logName
は、構成で指定されたレシーバ ID から取得されます。LogEntry
内の詳細なフィールドは、次のとおりです。
vault_audit
ログの LogEntry
には次のフィールドが含まれます。
フィールド | タイプ | 説明 |
---|---|---|
jsonPayload.auth |
構造体 | |
jsonPayload.auth.accessor |
文字列 | これは、クライアント トークン アクセサーの HMAC です。 |
jsonPayload.auth.client_token |
文字列 | これは、クライアントのトークン ID の HMAC です。 |
jsonPayload.auth.display_name |
文字列 | これは、認証メソッドのロールによって、または Secret の作成時に明示的に設定された表示名です。 |
jsonPayload.auth.entity_id |
文字列 | これはトークン エンティティ ID です。 |
jsonPayload.auth.metadata |
オブジェクト | これは、client_token に関連付けられたメタデータの Key-Value ペアのリストを含みます。 |
jsonPayload.auth.policies |
オブジェクト | これは、client_token に関連付けられたポリシーのリストを含みます。 |
jsonPayload.auth.token_type |
文字列 | |
jsonPayload.error |
文字列 | リクエストでエラーが発生した場合、このフィールドの値にはエラー メッセージが含まれます。 |
jsonPayload.request |
構造体 | |
jsonPayload.request.client_token |
文字列 | これは、クライアントのトークン ID の HMAC です。 |
jsonPayload.request.client_token_accessor |
文字列 | これは、クライアント トークン アクセサーの HMAC です。 |
jsonPayload.request.data |
オブジェクト | データ オブジェクトは、Key-Value ペアの Secret データを含みます。 |
jsonPayload.request.headers |
オブジェクト | リクエストの一部としてクライアントによって指定された追加の HTTP ヘッダー。 |
jsonPayload.request.id |
文字列 | これは一意のリクエスト ID です。 |
jsonPayload.request.namespace.id |
文字列 | |
jsonPayload.request.operation |
文字列 | これはパスの特性に対応するオペレーションのタイプであり、create 、read 、update 、delete 、list のいずれかであることが想定されています。 |
jsonPayload.request.path |
文字列 | リクエストされたオペレーション用の Vault のパス。 |
jsonPayload.request.policy_override |
boolean | ソフト 必須ポリシーのオーバーライドがリクエストされた場合、これは true です。 |
jsonPayload.request.remote_address |
文字列 | リクエストを行っているクライアントの IP アドレス。 |
jsonPayload.request.wrap_ttl |
文字列 | トークンがラップされている場合、これは構成済みのラップされた TTL 値を数値文字列として表示します。 |
jsonPayload.response |
構造体 | |
jsonPayload.response.data.accessor |
文字列 | これは、クライアント トークン アクセサーの HMAC です。 |
jsonPayload.response.data.creation_time |
文字列 | トークン作成の RFC 3339 形式のタイムスタンプ。 |
jsonPayload.response.data.creation_ttl |
文字列 | トークン作成の TTL(秒)。 |
jsonPayload.response.data.display_name |
文字列 | これは、認証メソッドのロールによって、または Secret の作成時に明示的に設定された表示名です。 |
jsonPayload.response.data.entity_id |
文字列 | これはトークン エンティティ ID です。 |
jsonPayload.response.data.expire_time |
文字列 | このトークンの有効期限が切れる時点を表す RFC 3339 形式のタイムスタンプ。 |
jsonPayload.response.data.explicit_max_ttl |
文字列 | 明示的なトークンの最大 TTL 値を(秒)(設定していない場合は「0」)。 |
jsonPayload.response.data.id |
文字列 | これはレスポンスの一意の ID です。 |
jsonPayload.response.data.issue_time |
文字列 | RFC 3339 形式のタイムスタンプ。 |
jsonPayload.response.data.num_uses |
number | トークンが使用者の数に制限されている場合、その値がここに表示されます。 |
jsonPayload.response.data.orphan |
boolean | トークンが独立しているかどうかを示すブール値。 |
jsonPayload.response.data.path |
文字列 | リクエストされたオペレーション用の Vault のパス。 |
jsonPayload.response.data.policies |
オブジェクト | これは、client_token に関連付けられたポリシーのリストを含みます。 |
jsonPayload.response.data.renewable |
boolean | トークンが独立しているかどうかを示すブール値。 |
jsonPayload.type |
文字列 | 監査ログのタイプ。 |
severity |
文字列(LogSeverity ) |
ログエントリ レベル(変換済み)。 |
指標の収集を構成する
Vault から指標を取り込むには、Vault が生成する指標のレシーバを作成してから、新しいレシーバ用のパイプラインを作成する必要があります。
このレシーバでは、複数のエンドポイントのモニタリングなど、構成で複数のインスタンスを使用することはできません。このようなインスタンスはすべて同じ時系列に書き込まれるため、Cloud Monitoring ではインスタンスを区別できません。
vault
指標のレシーバーを構成するには、次のフィールドを指定します。
フィールド | デフォルト | 説明 |
---|---|---|
ca_file |
CA 証明書のパス。クライアントとして、これによりサーバー証明書が検証されます。空の場合、レシーバはシステムルート CA を使用します。 | |
cert_file |
mTLS で必要な接続に使用する TLS 証明書のパス。 | |
collection_interval |
60s |
期間の値(例: 30s 、5m )。 |
endpoint |
localhost:8200 |
Vault で使用される「hostname:port」 |
insecure |
true |
セキュア TLS 接続を使用するかどうかを設定します。false に設定すると、TLS が有効になります。 |
insecure_skip_verify |
false |
証明書の検証をスキップするかどうかを指定します。insecure が true に設定されている場合、insecure_skip_verify 値は使用されません。 |
key_file |
mTLS で必要な接続に使用する TLS キーのパス。 | |
metrics_path |
/v1/sys/metrics |
指標収集のパス。 |
token |
localhost:8200 |
認証に使用されるトークン。 |
type |
値は、vault にする必要があります。 |
モニタリング対象
次の表に、Ops エージェントが Vault インスタンスから収集する指標の一覧を示します。
指標タイプ | |
---|---|
種類、タイプ モニタリング対象リソース |
ラベル |
workload.googleapis.com/vault.audit.request.failed
|
|
CUMULATIVE 、INT64 gce_instance |
|
workload.googleapis.com/vault.audit.response.failed
|
|
CUMULATIVE 、INT64 gce_instance |
|
workload.googleapis.com/vault.core.leader.duration
|
|
GAUGE 、DOUBLE gce_instance |
|
workload.googleapis.com/vault.core.request.count
|
|
GAUGE 、INT64 gce_instance |
cluster
|
workload.googleapis.com/vault.memory.usage
|
|
GAUGE 、DOUBLE gce_instance |
|
workload.googleapis.com/vault.storage.operation.delete.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.delete.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.token.count
|
|
GAUGE 、INT64 gce_instance |
cluster namespace
|
workload.googleapis.com/vault.token.lease.count
|
|
GAUGE 、INT64 gce_instance |
|
workload.googleapis.com/vault.token.renew.time
|
|
GAUGE 、INT64 gce_instance |
|
workload.googleapis.com/vault.token.revoke.time
|
|
GAUGE 、INT64 gce_instance |
構成を確認する
このセクションでは、Vault レシーバが正しく構成されていることを確認する方法について説明します。Ops エージェントがテレメトリーの収集を開始するまでに 1~2 分かかる場合があります。
Vault ログが Cloud Logging に送信されていることを確認するには、次のようにします。
-
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
検索バーを使用してこのページを検索する場合は、小見出しが [Logging] である結果を選択します。
- エディタに次のクエリを入力し、[クエリを実行] をクリックします。
resource.type="gce_instance" log_id("vault_audit")
Vault 指標が Cloud Monitoring に送信されていることを確認するには、次のようにします。
-
Google Cloud コンソールで、[leaderboardMetrics Explorer] ページに移動します。
検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。
- クエリビルダー ペインのツールバーで、[codeMQL] または [codePromQL] という名前のボタンを選択します。
- [MQL] 切り替えで [MQL] が選択されていることを確認します。言語切り替えボタンは、クエリの書式設定を行うのと同じツールバーにあります。
- エディタに次のクエリを入力し、[クエリを実行] をクリックします。
fetch gce_instance | metric 'workload.googleapis.com/vault.memory.usage' | every 1m
ダッシュボードを表示
Vault 指標を表示するには、グラフまたはダッシュボードが構成されている必要があります。 Vault インテグレーションには、1 つ以上のダッシュボードが含まれています。インテグレーションを構成して Ops エージェントが指標データの収集を開始すると、ダッシュボードは自動的にインストールされます。
インテグレーションをインストールすることなく、ダッシュボードの静的プレビューを表示することもできます。
インストールされているダッシュボードを表示する手順は次のとおりです。
-
Google Cloud コンソールで [ダッシュボード] ページに移動します。
検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。
- [ダッシュボード リスト] タブを選択し、[統合] カテゴリを選択します。
- 表示するダッシュボードの名前をクリックします。
インテグレーションを構成してもダッシュボードがインストールされていない場合は、Ops エージェントが実行されていることを確認します。ダッシュボードにグラフの指標データがない場合、ダッシュボードのインストールは失敗します。Ops エージェントが指標の収集を開始した後に、ダッシュボードがインストールされます。
ダッシュボードの静的プレビューを表示する手順は次のとおりです。
-
Google Cloud コンソールで [統合] ページに移動します。
検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。
- [デプロイメント プラットフォーム] フィルタの [Compute Engine] をクリックします。
- Vault のエントリを見つけて [詳細を表示] をクリックします。
- [ダッシュボード] タブを選択すると、静的プレビューが表示されます。ダッシュボードがインストールされている場合は、[ダッシュボードを表示] をクリックして移動できます。
Cloud Monitoring のダッシュボードについて詳しくは、ダッシュボードとグラフをご覧ください。
[インテグレーション] ページの使用方法については、インテグレーションを管理するをご覧ください。
アラート ポリシーをインストールする
アラート ポリシーは、指定した条件が成立した際に通知するように Cloud Monitoring に指示します。 Vault インテグレーションには、使用する 1 つ以上のアラート ポリシーが含まれています。これらのアラート ポリシーは、Monitoring の [インテグレーション] ページで表示してインストールできます。
使用可能なアラート ポリシーの説明を表示してインストールする手順は次のとおりです。
-
Google Cloud コンソールで [統合] ページに移動します。
検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。
- Vault のエントリを見つけて [詳細を表示] をクリックします。
- [アラート] タブを選択します。このタブには、利用可能なアラート ポリシーの説明と、それらをインストールするためのインターフェースが表示されます。
- アラート ポリシーをインストールします。アラート ポリシーでは、アラートがトリガーされた通知の送信先を特定する必要があるため、インストール環境の情報が必要になります。アラート ポリシーをインストールする手順は次のとおりです。
- 利用可能なアラート ポリシーのリストから、インストールするアラート ポリシーを選択します。
[通知の構成] セクションで、1 つ以上の通知チャンネルを選択します。通知チャンネルの使用を無効にすることもできますが、無効にすると、アラート ポリシーは通知なく起動します。Monitoring でステータスを確認できますが、通知は受信しません。
通知チャンネルの詳細については、通知チャンネルを管理するをご覧ください。
- [ポリシーの作成] をクリックします。
Cloud Monitoring のアラート ポリシーの詳細については、アラートの概要をご覧ください。
[インテグレーション] ページの使用方法については、インテグレーションを管理するをご覧ください。
次のステップ
Ansible を使用して Ops エージェントをインストールし、サードパーティ アプリケーションを構成してサンプル ダッシュボードをインストールする方法については、Ops エージェントをインストールして、サードパーティ アプリケーションのトラブルシューティングを行うの動画をご覧ください。