我们很高兴地宣布推出我们的Splunk应用程序，以帮助您获得现成的HashiCorp保险库监控体验。该应用程序可帮助您从操作和安全角度了解Vault在多租户环境中的运行情况，并提供了覆盖各种监控用例的预构建仪表板和报告。它还附带了更新的Vault Monitor遥测和审核设备日志数据以及Splunk指南，其中包括有关要监视的最重要指标、它们为什么重要、要监视的阈值等方面的建议。Vault Enterprise用户可以填写Splunk应用程序请求表以请求访问该应用程序。这个应用程序是HashiCorp和Splunk合作的结果，帮助企业以一种有意义的方式加速云应用和迁移。《财富》100强企业中90%以上的企业都使用Splunk来调查和分析任何基础设施中的数据，并采用数据驱动的方法实时搜索、监控和可视化数据。Splunk使IT运营、安全、DevOps和分析团队能够在整个组织中实时查看，从而做出更好、更快的决策。你可以在他们的博客上看到更多关于HashiCorp和Splunk合作的文章。»数据来源Splunk应用程序使用来自Vault遥测源的数据、Telegraf代理收集的平台数据以及Vault的审核设备日志：遥测：Vault的遥测包含来自Vault每个子系统的度量。这些度量可以使用StatsD格式进行流式传输，或者通过普罗米修斯。普罗米修斯对于vault1.5，Vault telemetry主要集中在时间度量上，例如，关于存储访问延迟的度量，或者关于Go运行时执行垃圾收集的时间量的度量。这种类型的信息对于评估集群的运行状况很有用，但对于了解应用程序和用户如何使用集群则不太有用。在Vault 1.5中，我们为遥测添加了一组新的高维使用度量。这些度量包括度量令牌和实体创建的计数度量，以及关于令牌、实体和机密的度量。每个使用度量包括以下一个或多个维度作为标签：集群、命名空间、身份验证方法、装载点、创建ttl、令牌类型、策略和机密引擎。要查看所有受支持的Vault遥测度量的完整列表，请参阅我们的遥测文档。Telegraf：除了Vault提供的数据外，Splunk应用程序还通过服务器代理Telegraf从运行Vault的平台收集操作数据。这些数据包括CPU使用率、网络和磁盘利用率以及其他类似的指标。审核设备日志：Vault审核设备日志包含Vault处理的每个请求和响应负载的JSON格式版本。它提供了Vault使用方式的详细历史记录。它主要是作为一种安全特性，但也可以用于监视。在vault1.5中，我们为每个响应条目添加了一个新字段，指示处理请求的装载类型。这个附加的上下文有助于构建关于特定操作类型的查询。»示例用例和度量Splunk应用程序有助于处理不同的保险库监控用例。从运行状况的角度来看，它提供了有关Vault及其存储后端是否按预期运行的信息。例如：使用保险库时，加密可能会对CPU提出很大的要求。如果CPU太忙，Vault可能难以跟上传入的请求负载。跟踪用户进程（如Vault或HashiCorp Consult）使用的CPU百分比以及等待I/O任务完成的CPU时间百分比有助于记录Vault的CPU使用率。在Vault中，所有运行时线程都将被阻塞，直到垃圾回收完成。通常，这些暂停只持续几纳秒，但是，如果内存使用率很高，Go运行时可能会频繁地执行垃圾收集，从而导致Vault速度减慢。因此，您可以监视垃圾收集暂停（自保险存储启动以来）所消耗的纳秒数，以帮助了解这是否按预期执行。从安全监控的角度来看，Splunk应用程序通过遥测使用指标和审计日志数据提供用户和应用程序如何使用Vault的信息。这些数据可以用来解释保险库是否被滥用（从而影响了安全性）。例如：在保险库中，令牌用于控制访问。度量令牌的创建是一个关键的使用度量，理解这些创建的令牌的安全暴露也是一个关键的度量标准。与此相关，使用Splunk应用程序，您可以测量当前存在的"根"令牌的数量，现有令牌的寿命是短（通常是最佳做法）还是较长的寿命，并了解用于登录Vault的授权方法。一旦您知道Vault中存在生命周期较长的令牌，就可以使用Splunk查询进行更深入的研究，以找到这些令牌的来源。通过Vault telemetry，您可以轻松地查询在给定的时间间隔内创建了多少令牌，并按令牌生存时间进行筛选。可以按名称空间或身份验证方法对这些数据进行分组，以标识可能需要最佳实践建议的特定用户，或配置了较长默认生存时间的登录方法。如果需要，可以将这些信息记录到审计日志中，以识别单个用户或IP地址。在Vault中，实体通过用户可能使用的不同登录方法唯一地标识用户（用户帐户或服务器帐户）。在某些情况下，这些标识是自动创建的，因此您可能有兴趣了解用户群的大小，以及哪些方法在驱动它们的使用。Splunk应用程序提供有关身份实体创建、计数和别名计数的信息。了解Vault中存储了多少机密将有助于您判断内部团队的使用情况，并了解您的安全足迹。从Splunk应用程序中，您可以利用统计存储在key-value-secret引擎中的秘密数量的量规，以便您的团队能够了解顶级贡献者和增长率。此外，使用审计日志解释数据，您可以了解如何按每个名称空间的路径分布KV secrets引擎操作（读取、列表等）。《Vault Monitor Telemetry and Audit Device Log Data with Splunk guide》（Vault监视器遥测和审核设备日志数据与Splunk指南）包含我们建议您监视的所有指标的列表，其中许多指标也预建在Splunk应用程序仪表板中。»用户体验Splunk应用程序由7个预构建的仪表板和4个报告组成。入口点是关键指标（如主机运行状况和顶层使用指标）的摘要视图。然后，您可以深入研究遥测中的操作运行状况指标、遥测数据的使用情况指标、审核日志数据、后端存储性能指标（这是健康保险库群集的关键）、资源配额指标以及一个特殊的使用案例页面，该页面提供了有关在哪里创建Vault中的"高TTL令牌"的信息。如果您缺少某些度量，或者是因为它们运行的是旧版本的Vault，或者是因为它们禁用了审核日志，那么这些特定的可视化效果将保持空白。图1：群集摘要仪表板我们设计这个应用程序是为了给原始审计日志提要中压倒性的信息提供上下文，或者是在保险库的遥测中隐藏的信息。例如，下面的可视化（图2）显示了错误计数。可以通过路径、名称空间甚至IP地址对其进行过滤，以获得特定用户的更窄视图。其他可视化（图3）帮助用户识别他们使用中的热点，或者某个秘密路径上的异常行为。图2：按类型列出的错误计数图3:KV按路径读取和列表每个页面都以可用信息的高级视图开始。Splunk的过滤功能允许用户通过下拉到该摘要视图中突出显示的特定集群、名称空间或主机，或从累积的历史记录中选择特定的时间范围，来获得更精细的信息。在同一时间轴上显示20个主机的视图允许您查看异常值；然后您可以选择同一可视化中的主机子集，以便更清楚地看到趋势（请参见下面的图4）。图4：过滤Splunk中的数据更新后的学习指南提供了许多实用的建议，包括监控哪些指标，以及关于阈值或如何估计正常范围的建议。在Splunk应用程序中，这些建议显示为查询和可视化，可以根据您的需求进行调整。例如，有一个度量度量Go运行时执行垃圾收集所花费的时间，以纳秒的累积数表示。我们的指南指出，这需要转换成一个速率，然后与一些推荐的阈值进行比较。下面的可视化（图5）是文本的"基础设施即代码"版本；它通过绘制阈值旁边的速率来忠实地实现我们的建议。图5：用阈值可视化的示例度量»下一步行动Splunk应用程序可用于Vault Enterprise。但是，应用程序使用的所有数据源都可用于Vault的所有版本。此外，在Vault monitor Telemetry and Audit Device Log Data with Splunk guide中，还提供了有关如何利用Splunk监视Vault的分步说明。这些说明以及Vault的数据源可用于从头构建Splunk仪表板。Vault Enterprise用户可以填写Splunk应用程序请求表以请求访问该应用程序。