这是文档下一个版本的Grafana。最新的稳定版本,去最新版本。
配置Grafana秘密扫描和通知
Grafana,您可以使用GitHub扫描服务来确定你的秘密服务帐户标记GitHub上泄露。
GitHub秘密扫描检测到一个Grafana秘密时,其散列存储在Grafana实验室的秘密扫描服务。bob电竞频道
Grafana实例,无论是本地还是在云上,可以使用该服务来验证如果令牌生成的实例已经公开。这个验证是通过比较令牌与暴露的令牌的哈希散列。
如果服务检测泄露的令牌,它立即撤销它,使它没用,和事件日志。
注意:如果撤销
选项是禁用的,服务只发送一个通知配置webhook URL和日志事件。令牌是不会自动撤销。
您还可以配置服务发送一个外向webhook通知webhook URL。
通知包括一个JSON载荷包含以下数据:
{“alert_uid”:“c9ce50a1 - d66b - 45 - e4 - 9 - b5d - 175766 - cfc026”、“link_to_upstream_details”: < URL标记泄漏>,“消息”:“令牌类型grafana_service_account_token名字sa-the-toucans公开暴露在令牌漏> < URL。Grafana撤销这个令牌”、“状态”:“报警”、“标题”:“SecretScan警报:Grafana牌泄露”}
注意:秘密扫描默认情况下是禁用的。即将离任的连接是由一旦启用它。
在你开始之前
- 确保你所有的API密钥已经迁移到服务帐户。关于服务帐户迁移的更多信息,请参考API密钥迁移到Grafana服务帐户。
配置秘密扫描
打开Grafana配置文件。
在
(secretscan)
部分,更新以下参数:
[secretscan] #启用secretscan特性使= true #是否撤销令牌如果检测到泄漏或只是发送一个通知撤销= true
保存配置文件并重启Grafana。
配置外向webhook通知
创建一个oncall集成的类型Webhook并设置警报。学习如何创建一个Grafana OnCall集成,请参考Webhook集成为Grafana OnCall。
复制webhook新的集成的URL。
打开Grafana配置文件。
在
(secretscan)
部分,更新以下参数,替换URL的webhook URL复制在步骤2中。
[secretscan] # oncall格式的URL发送一个webhook载荷oncall_url = https://example.url/integrations/v1/webhook/3a359nib9eweAd9lAAAETVdOx/
保存配置文件并重启Grafana。