File 审计设备

file 审计设备将审计日志写入文件。这是一个非常简单的审计设备:它将日志添加到文件中。

该设备目前不进行任何日志文件轮换。已经有非常稳定且功能丰富的日志轮换工具,因此我们建议使用现有工具。

向 Vault 进程发送 SIGHUP 信号将导致文件审计设备关闭并重新打开它们的底层文件,这可以协助实现日志轮换。

例子

使用默认路径启用文件审计设备:

$ vault audit enable file file_path=/var/log/vault_audit.log

使用不同路径启用。可以使用不同路径启用同一类型审计设备的多个副本:

$ vault audit enable -path="vault_audit_1" file file_path=/home/user/vault_audit.log

在 stdout 上启用文件审计设备。使用容器运行 Vault 时这很有用:

$ vault audit enable file file_path=stdout

可用标志

请注意 audit enable 命令选项和 file 审计设备配置选项之间的区别。使用 vault audit enable -help 查看命令选项。以下是该审计设备可用的配置选项:

  • file_path (string: <required>) - 写入审计日志的路径。如果给定路径中已存在文件,则审计日志将添加到该文件末尾。有一些特殊的关键字:
    • stdout 将深究日志写入标准输出流
    • discard 写入输出(output)(测试场景下很有用)
  • log_raw (bool: false) - 如果启用,安全敏感的信息将会不经散列,以原始格式直接记录
  • hmac_accessor (bool: true) - 如果启用,将令牌访问器(token accessor)散列
  • mode (string: "0600") - 一个包含八进制数的字符串,表示文件模式的位模式,类似于 chmod。设置为“0000”以防止 Vault 修改文件模式。
  • format (string: "json") - 允许选择输出格式。有效值为“json”“jsonx”(它将普通日志条目格式化为 XML)。
  • prefix (string: "") - 在实际日志行之前配置一个可自定义字符串前缀。

日志文件轮换

要在运行于 BSD、Darwin 或 Linux 的 Vault 服务器上正确轮换 Vault 文件审计设备日志文件,需要配置日志轮换软件,在每次日志文件轮换后向 Vault 进程发送 SIGHUP 信号。

results matching ""

    No results matching ""