File 审计设备

file 审计设备将审计日志写入文件。这是一个非常简单的审计设备：它将日志添加到文件中。

该设备目前不进行任何日志文件轮换。已经有非常稳定且功能丰富的日志轮换工具，因此我们建议使用现有工具。

向 Vault 进程发送 SIGHUP 信号将导致文件审计设备关闭并重新打开它们的底层文件，这可以协助实现日志轮换。

例子

使用默认路径启用文件审计设备：

$ vault audit enable file file_path=/var/log/vault_audit.log

使用不同路径启用。可以使用不同路径启用同一类型审计设备的多个副本：

$ vault audit enable -path="vault_audit_1" file file_path=/home/user/vault_audit.log

在 stdout 上启用文件审计设备。使用容器运行 Vault 时这很有用：

$ vault audit enable file file_path=stdout

可用标志

请注意 audit enable 命令选项和 file 审计设备配置选项之间的区别。使用 vault audit enable -help 查看命令选项。以下是该审计设备可用的配置选项：

• file_path (string: <required>) - 写入审计日志的路径。如果给定路径中已存在文件，则审计日志将添加到该文件末尾。有一些特殊的关键字：
  • stdout 将深究日志写入标准输出流
  • discard 写入输出(output)（测试场景下很有用）
• log_raw (bool: false) - 如果启用，安全敏感的信息将会不经散列，以原始格式直接记录
• hmac_accessor (bool: true) - 如果启用，将令牌访问器(token accessor)散列
• mode (string: "0600") - 一个包含八进制数的字符串，表示文件模式的位模式，类似于 chmod。设置为“0000”以防止 Vault 修改文件模式。
• format (string: "json") - 允许选择输出格式。有效值为“json”和“jsonx”(它将普通日志条目格式化为 XML)。
• prefix (string: "") - 在实际日志行之前配置一个可自定义字符串前缀。

日志文件轮换

要在运行于 BSD、Darwin 或 Linux 的 Vault 服务器上正确轮换 Vault 文件审计设备日志文件，需要配置日志轮换软件，在每次日志文件轮换后向 Vault 进程发送 SIGHUP 信号。