Hashicorp Vault에서 Syslog Audit Device를 활성화하는 방법

Hashicorp Vault에서 Syslog Audit Device를 활성화하는 방법

Syslog Audit Device는 Vault의 모든 요청(Request)과 응답(Response)을 OS의 syslog 데몬(rsyslog)을 통해 로그 파일로 기록하는 감사(Audit) 장치입니다.

누가, 언제, 어떤 Secret/API를 호출했는지를 중앙 로그 시스템에서 추적할 수 있습니다.

1. Syslog Audit Device 활성화

Vault 서버(node141 등)에서 실행합니다.

vault audit enable syslog

기본적으로 local0 facility를 사용하여 syslog로 전송됨

2. Audit Device 활성화 상태 확인

vault audit list

syslog/ 경로가 보이면 Audit Device 활성화 완료

3. Vault 요청 테스트 (감사 로그 생성)

Audit 로그가 실제로 기록되는지 확인하기 위해 간단한 Vault 명령을 실행합니다.

vault status

4. Syslog 로그 저장을 위한 rsyslog 설정

Vault 전용 로그 파일 생성

sudo touch /var/log/vault.log

sudo chown vault:vault /var/log/vault.log

sudo chmod 640 /var/log/vault.log

Vault 프로세스가 로그 파일에 기록할 수 있도록 권한 설정 필수

rsyslog 설정 파일 작성

vim /etc/rsyslog.d/vault.conf

if $programname == 'vault' then /var/log/vault.log
& stop

• programname == 'vault' : Vault 프로세스에서 발생한 syslog 메시지만 필터링
• /var/log/vault.log : Vault 감사 로그 전용 파일로 분리
• & stop : 다른 syslog 파일로 중복 기록 방지

rsyslog 서비스 재시작

sudo systemctl restart rsyslog

5. Syslog Audit 로그 확인

로그 파일 위치

• Ubuntu/Debian

tail -f /var/log/syslog

• CentOS/RHEL

tail -f /var/log/messages

• Vault 전용 로그

tail -f /var/log/vault.log

운영에서는 /var/log/vault.log만 확인하는 것을 권장

6. Syslog Audit Device 비활성화

Syslog Audit Device를 비활성화합니다.

vault audit disable syslog/

Audit Device가 하나도 없는 상태는 보안상 권장되지 않음

 

참고URL

- Vault Documentation : Syslog audit device