Vault è un sistema di gestione della crittografia e dei secret basato sull'identità. Questa integrazione raccoglie gli audit log di Vault. L'integrazione raccoglie anche le metriche relative a token, memoria e spazio di archiviazione.
Per ulteriori informazioni su Vault, consulta la documentazione di Hashicorp Vault.
Prerequisiti
Per raccogliere la telemetria di Vault, devi installare Ops Agent:
- Per le metriche, installa la versione 2.18.2 o successive.
- Per i log, installa la versione 2.18.1 o successive.
Questa integrazione supporta la versione 1.6 e successive di Vault.
Configura l'istanza Vault
Per raccogliere i dati telemetrici dall'istanza Vault, devi impostare il campo prometheus_retention_time
su un valore diverso da zero nel file di configurazione HCL o JSON di Vault.
Full configuration options can be found at https://www.vaultproject.io/docs/configuration telemetry { prometheus_retention_time = "10m" disable_hostname = false }
Inoltre, è necessario un utente root per attivare la raccolta dei log di controllo e creare un criterio ACL prometheus-metrics.
Un token principale viene utilizzato per aggiungere un criterio con funzionalità di lettura all'endpoint/sys/metrics
.
Questo criterio viene utilizzato per creare un token Vault con autorizzazioni sufficienti per raccogliere le metriche di Vault.
Se stai inizializzando Vault per la prima volta, puoi utilizzare il seguente script per generare un token principale. In caso contrario, consulta Generare token di root con le chiavi di apertura per informazioni sulla generazione di un token di root.
export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1' .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY
# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log
# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
capabilities = ["read"]
}
EOF
# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token
Configurare Ops Agent per Vault
Segui la guida per configurare Ops Agent, aggiungi gli elementi necessari per raccogliere la telemetria dalle istanze Vault e riavvia l'agente.
Configurazione di esempio
I seguenti comandi creano la configurazione per raccogliere e importare la telemetria per Vault e riavviare Ops Agent.
Configura la raccolta dei log
Per importare i log da Vault, devi creare un destinatario per i log prodotti da Vault e poi una pipeline per il nuovo destinatario.
Per configurare un destinatario per i log vault_audit
, specifica i seguenti campi:
Campo | Predefinito | Descrizione |
---|---|---|
exclude_paths |
Un elenco di pattern di percorsi del file system da escludere dall'insieme corrispondente a include_paths . |
|
include_paths |
Un elenco di percorsi del file system da leggere tramite il comando tail di ogni file. Nei percorsi è possibile utilizzare un carattere jolly (* ). |
|
record_log_file_path |
false |
Se impostato su true , il percorso del file specifico da cui è stato ottenuto il record del log viene visualizzato nella voce di log di output come valore dell'etichetta agent.googleapis.com/log_file_path . Quando utilizzi un carattere jolly, viene registrato solo il percorso del file da cui è stato ottenuto il record. |
type |
Il valore deve essere vault_audit . |
|
wildcard_refresh_interval |
60s |
L'intervallo di aggiornamento dei percorsi file con caratteri jolly in include_paths . Specificato come durata, ad esempio 30s o 2m . Questa proprietà potrebbe essere utile in caso di flussi di lavoro elevati per la registrazione, in cui i file di log vengono ruotati più velocemente dell'intervallo predefinito. |
Che cosa viene registrato nei log
Il logName
è ricavato dagli ID dei destinatari specificati nella configurazione. I campi dettagliati all'interno di
LogEntry
sono i seguenti.
I log vault_audit
contengono i seguenti campi in LogEntry
:
Campo | Tipo | Descrizione |
---|---|---|
jsonPayload.auth |
struct | |
jsonPayload.auth.accessor |
string | Si tratta di un HMAC dell'accessore del token client. |
jsonPayload.auth.client_token |
string | Si tratta di un HMAC dell'ID token del client. |
jsonPayload.auth.display_name |
string | Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret. |
jsonPayload.auth.entity_id |
string | Si tratta di un identificatore di entità token. |
jsonPayload.auth.metadata |
oggetto | Conterrà un elenco di coppie chiave/valore dei metadati associate a client_token. |
jsonPayload.auth.policies |
oggetto | Conterrà un elenco di criteri associati a client_token. |
jsonPayload.auth.token_type |
string | |
jsonPayload.error |
string | Se si è verificato un errore con la richiesta, il messaggio di errore è incluso nel valore di questo campo. |
jsonPayload.request |
struct | |
jsonPayload.request.client_token |
string | Si tratta di un HMAC dell'ID token del client. |
jsonPayload.request.client_token_accessor |
string | Si tratta di un HMAC dell'accessore del token client. |
jsonPayload.request.data |
oggetto | L'oggetto dati conterrà dati riservati in coppie chiave/valore. |
jsonPayload.request.headers |
oggetto | Intestazioni HTTP aggiuntive specificate dal client nell'ambito della richiesta. |
jsonPayload.request.id |
string | Si tratta dell'identificatore univoco della richiesta. |
jsonPayload.request.namespace.id |
string | |
jsonPayload.request.operation |
string | Si tratta del tipo di operazione che corrisponde alle funzionalità del percorso e deve essere uno dei seguenti: create , read , update , delete o list . |
jsonPayload.request.path |
string | Il percorso di Vault richiesto per l'operazione. |
jsonPayload.request.policy_override |
boolean | Il valore è true quando è stata richiesta una sostituzione dei criteri con criteri soft obbligatori. |
jsonPayload.request.remote_address |
string | L'indirizzo IP del client che effettua la richiesta. |
jsonPayload.request.wrap_ttl |
string | Se il token è racchiuso tra parentesi, viene visualizzato il valore TTL racchiuso tra parentesi configurato come stringa numerica. |
jsonPayload.response |
struct | |
jsonPayload.response.data.accessor |
string | Si tratta di un HMAC dell'accessore del token client. |
jsonPayload.response.data.creation_time |
string | Timestamp nel formato RFC 3339 della creazione del token. |
jsonPayload.response.data.creation_ttl |
string | TTL della creazione del token in secondi. |
jsonPayload.response.data.display_name |
string | Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret. |
jsonPayload.response.data.entity_id |
string | Si tratta di un identificatore di entità token. |
jsonPayload.response.data.expire_time |
string | Timestamp nel formato RFC 3339 che rappresenta il momento in cui questo token scadrà. |
jsonPayload.response.data.explicit_max_ttl |
string | Valore TTL massimo del token esplicito in secondi ("0" se non impostato). |
jsonPayload.response.data.id |
string | Si tratta dell'identificatore univoco della risposta. |
jsonPayload.response.data.issue_time |
string | Timestamp in formato RFC 3339. |
jsonPayload.response.data.num_uses |
numero | Se il token è limitato a un numero di utilizzi, questo valore verrà rappresentato qui. |
jsonPayload.response.data.orphan |
boolean | Valore booleano che indica se il token è orfano. |
jsonPayload.response.data.path |
string | Il percorso di Vault richiesto per l'operazione. |
jsonPayload.response.data.policies |
oggetto | Conterrà un elenco di criteri associati a client_token. |
jsonPayload.response.data.renewable |
boolean | Valore booleano che indica se il token è orfano. |
jsonPayload.type |
string | Il tipo di log di controllo. |
severity |
stringa (LogSeverity ) |
Livello di voce del log (tradotto). |
Configurazione della raccolta di metriche
Per importare le metriche da Vault, devi creare un destinatario per le metriche prodotte da Vault e poi una pipeline per il nuovo destinatario.
Questo ricevitore non supporta l'utilizzo di più istanze nella configurazione, ad esempio per monitorare più endpoint. Tutte queste istanze scrivono nella stessa serie temporale e Cloud Monitoring non ha modo di distinguerle.
Per configurare un destinatario per le metriche vault
, specifica i seguenti campi:
Campo | Predefinito | Descrizione |
---|---|---|
ca_file |
Percorso del certificato CA. In qualità di client, viene verificato il certificato del server. Se è vuoto, il destinatario utilizza la CA principale di sistema. | |
cert_file |
Percorso del certificato TLS da utilizzare per le connessioni richieste da mTLS. | |
collection_interval |
60s |
Un valore di durata, ad esempio 30s o 5m . |
endpoint |
localhost:8200 |
"nome host:porta" utilizzato da Vault. |
insecure |
true |
Imposta se utilizzare o meno una connessione TLS sicura. Se impostato su false , TLS è attivato. |
insecure_skip_verify |
false |
Imposta se saltare o meno la verifica del certificato. Se insecure è impostato su true , il valore insecure_skip_verify non viene utilizzato. |
key_file |
Percorso della chiave TLS da utilizzare per le connessioni richieste da mTLS. | |
metrics_path |
/v1/sys/metrics |
Il percorso per la raccolta delle metriche. |
token |
localhost:8200 |
Token utilizzato per l'autenticazione. |
type |
Questo valore deve essere vault . |
Che cosa viene monitorato
La tabella seguente fornisce l'elenco delle metriche raccolte dall'Ops Agent dall'istanza Vault.
Tipo di metrica | |
---|---|
Tipo, Tipo Risorse monitorate |
Etichette |
workload.googleapis.com/vault.audit.request.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.audit.response.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.core.leader.duration
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.core.request.count
|
|
GAUGE , INT64 gce_instance |
cluster
|
workload.googleapis.com/vault.memory.usage
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.storage.operation.delete.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.delete.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.token.count
|
|
GAUGE , INT64 gce_instance |
cluster namespace
|
workload.googleapis.com/vault.token.lease.count
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.renew.time
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.revoke.time
|
|
GAUGE , INT64 gce_instance |
Verificare la configurazione
Questa sezione descrive come verificare di aver configurato correttamente il ricevitore del caveau. L'inizio della raccolta della telemetria da parte di Ops Agent potrebbe richiedere uno o due minuti.
Per verificare che i log di Vault vengano inviati a Cloud Logging, svolgi i seguenti passaggi:
-
Nella console Google Cloud, vai alla pagina Esplora log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
- Inserisci la seguente query nell'editor e poi fai clic su Esegui query:
resource.type="gce_instance" log_id("vault_audit")
Per verificare che le metriche di Vault vengano inviate a Cloud Monitoring:
-
Nella console Google Cloud, vai alla pagina leaderboard Esplora metriche:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
- Nella barra degli strumenti del riquadro Query Builder, seleziona il pulsante code MQL o code PromQL.
- Verifica che sia selezionato MQL nel pulsante di attivazione/disattivazione Lingua. Il pulsante di attivazione/disattivazione della lingua si trova nella stessa barra degli strumenti che consente di formattare la query.
- Inserisci la seguente query nell'editor e poi fai clic su Esegui query:
fetch gce_instance | metric 'workload.googleapis.com/vault.memory.usage' | every 1m
Visualizza dashboard
Per visualizzare le metriche di Vault, devi avere configurato un grafico o una dashboard. L'integrazione di Vault include una o più dashboard per te. Le dashboard vengono installate automaticamente dopo aver configurato l'integrazione e dopo che Ops Agent ha iniziato a raccogliere i dati delle metriche.
Puoi anche visualizzare anteprime statiche delle dashboard senza installare l'integrazione.
Per visualizzare una dashboard installata:
-
Nella console Google Cloud, vai alla pagina Dashboard:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
- Seleziona la scheda Elenco dashboard e poi scegli la categoria Integrazioni.
- Fai clic sul nome della dashboard che vuoi visualizzare.
Se hai configurato un'integrazione, ma la dashboard non è stata installata, controlla che l'Ops Agent sia in esecuzione. Se non sono disponibili dati metrici per un grafico nella dashboard, l'installazione della dashboard non va a buon fine. Una volta che Ops Agent inizia a raccogliere le metriche, la dashboard viene installata per te.
Per visualizzare un'anteprima statica della dashboard:
-
Nella console Google Cloud, vai alla pagina Integrazioni:
Vai a Integrations (Integrazioni).
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
- Fai clic sul filtro della piattaforma di deployment Compute Engine.
- Individua la voce relativa a Vault e fai clic su Visualizza dettagli.
- Seleziona la scheda Dashboard per visualizzare un'anteprima statica. Se la dashboard è installata, puoi accedervi facendo clic su Visualizza dashboard.
Per ulteriori informazioni sulle dashboard in Cloud Monitoring, consulta Dashboard e grafici.
Per ulteriori informazioni sull'utilizzo della pagina Integrazioni, consulta Gestire le integrazioni.
Installa i criteri di avviso
I criteri di avviso chiedono a Cloud Monitoring di inviarti una notifica quando si verificano condizioni specifiche. L'integrazione di Vault include uno o più criteri di avviso da utilizzare. Puoi visualizzare e installare questi criteri di avviso dalla pagina Integrazioni in Monitoraggio.
Per visualizzare le descrizioni dei criteri di avviso disponibili e installarli:
-
Nella console Google Cloud, vai alla pagina Integrazioni:
Vai a Integrations (Integrazioni).
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
- Individua la voce per Vault e fai clic su Visualizza dettagli.
- Seleziona la scheda Avvisi. Questa scheda fornisce descrizioni dei criteri di avviso disponibili e un'interfaccia per installarli.
- Installa i criteri di avviso. I criteri di avviso devono
sapere dove inviare le notifiche che indicano che l'avviso è stato attivato, pertanto richiedono informazioni da te per l'installazione.
Per installare i criteri di avviso:
- Nell'elenco dei criteri di avviso disponibili, seleziona quelli che vuoi installare.
Nella sezione Configura notifiche, seleziona uno o più canali di notifica. Hai la possibilità di disattivare l'utilizzo dei canali di notifica, ma in questo caso i criteri di avviso vengono attivati in modo silenzioso. Puoi controllarne lo stato in monitoraggio, ma non ricevi notifiche.
Per saperne di più sui canali di notifica, consulta la pagina Gestire i canali di notifica.
- Fai clic su Crea criteri.
Per ulteriori informazioni sui criteri di avviso in Cloud Monitoring, consulta la pagina Introduzione agli avvisi.
Per ulteriori informazioni sull'utilizzo della pagina Integrazioni, consulta Gestire le integrazioni.
Passaggi successivi
Per una procedura dettagliata su come utilizzare Ansible per installare l'Ops Agent, configurare un'applicazione di terze parti e installare una dashboard di esempio, guarda il video Installa l'Ops Agent per risolvere i problemi relativi alle applicazioni di terze parti.