SSL テスト

概要

SSL テストを使用すると、SSL/TLS 証明書の有効性と有効期限をプロアクティブに監視して、主要なサービスとユーザー間の安全な接続を確保できます。証明書の有効期限が近づいているか、侵害された場合、Datadog は失敗の詳細を含むアラートを送信し、問題の根本原因をすばやく特定、修正できるようにします。

SSL テストは、ネットワークの外部または内部からのテストの実行の好みに応じて、管理ロケーションプライベートロケーションの両方から実行することができます。SSL テストは、スケジュール、オンデマンド、または CI/CD パイプライン内で直接実行することができます。

構成

You may create a test using one of the following options:

  • Create a test from a template:

    1. Hover over one of the pre-populated templates and click View Template. This opens a side panel displaying pre-populated configuration information, including: Test Details, Request Details, Assertions, Alert Conditions, and Monitor Settings.
    2. Click +Create Test to open the Define Request page, where you can review and edit the pre-populated configuration options. The fields presented are identical to those available when creating a test from scratch.
    3. Click Save Details to submit your API test.

  • Build a test from scratch:

    1. テストを一から作成するには、+ Start from scratch テンプレートをクリックし、SSL リクエストタイプを選択します。

    2. テストを実行する HostPort を指定します。デフォルトの SSL ポートは 443 です。

    3. Advanced Options (オプション) をテストに追加します。

      • Accept self-signed certificates: 自己署名証明書に関連するサーバーエラーをバイパスします。
      • Fail on revoked certificate in stapled OCSP: 証明書が OCSP ステープリングによって取り消されたとラベル付けされた場合、テストに失敗します。
      • Timeout: テストがタイムアウトするまでの時間を秒単位で指定します。
      • Server Name: TLS ハンドシェイクを開始するサーバーを指定し、サーバーが同じ IP アドレスと TCP ポート番号上の複数の可能な証明書のうちの 1 つを提示することを可能にします。デフォルトでは、このパラメータは Host の値で埋められています。
      • Client certificate: クライアント証明書 (.crt) と PEM 形式の関連する秘密キー (.key) をアップロードして、mTLS を介して認証します。

      openssl ライブラリを使用して、証明書を変換することができます。例えば、PKCS12 形式の証明書を PEM 形式の秘密キーや証明書に変換することができます。

      openssl pkcs12 -in <CERT>.p12 -out <CERT_KEY>.key -nodes -nocerts
openssl pkcs12 -in <CERT>.p12 -out <CERT>.cert -nokeys

    4. SSL テストに名前を付けます。

    5. SSL テストに Environment タグとその他のタグを追加します。次に、これらのタグを使用して、Synthetic Monitoring & Continuous Testing ページで Synthetic テストをフィルタリングできます。

    6. Test Certificate をクリックして、リクエストの構成をテストします。画面の右側に応答プレビューが表示されます。

      SSL リクエストを定義する

    7. Click Create Test to submit your API test.

スニペット

When setting up a new Synthetic Monitoring API test, use snippets to automatically fill in basic auth, performance, and regions, rather than selecting these options manually. The following snippets are available:

  • Basic Auth: Automatically test your APIs using pre-populated basic auth headers, JavaScript, bearer token, and API/app key auth variables.

  • Performance: Automatically configure a test with the shortest frequency (one minute), perform a gRPC health check, and test for overall response time latency with a breakdown of network timing.

  • Regions: Automatically test your API endpoint against a location in each of the three primary geographic regions (AMER, APAC and EMEA).

    Screenshot of the left hand side of an API test creation, showing the snippets example

アサーションを定義する

アサーションは、期待されるテスト結果が何であるかを定義します。Test URL をクリックした後、証明書の有効性、有効期限データ、TLS バージョン、response time の基本的なアサーションが、取得された応答に基づいて追加されます。テストで監視するには、少なくとも 1 つのアサーションを定義する必要があります。

タイプ演算子値の型
証明書expires in more thanexpires in less than整数 (日数)
プロパティcontainsdoes not containisis not
matchesdoes not match		文字列
正規表現
response timeis less than整数 (ms)
TLS 最大バージョンis less thanis less than or equalisis more thanis more than or equalDecimal
TLS 最小バージョンis more thanis more than or equalDecimal

New Assertion をクリックするか、応答プレビューを直接クリックすることで、API テストごとに最大 20 個のアサーションを作成できます。

SSL テストが成功または失敗するためのアサーションを定義する

アサーションで OR ロジックを実行するには、matches regex あるいは does not match regex コンパレータを使用して、(0|100) のように同じアサーションタイプに対して複数の期待値を設定した正規表現を定義します。プロパティアサーションの値が 0 あるいは 100 の場合、テストは成功です。

テストがレスポンス本文にアサーションを含まない場合、本文のペイロードはドロップし、Synthetics Worker で設定されたタイムアウト制限内でリクエストに関連するレスポンスタイムを返します。

テストがレスポンス本文に対するアサーションを含み、タイムアウトの制限に達した場合、Assertions on the body/response cannot be run beyond this limit というエラーが表示されます。

ロケーションを選択する

SSL テストを実行するロケーションを選択します。SSL テストは、ネットワークの外部または内部のどちらから証明書を監視するかの好みによって、管理ロケーションとプライベートロケーションの両方から実行できます。

Datadog’s out-of-the-box managed locations allow you to test public-facing websites and endpoints from regions where your customers are located.

AWS:

AmericasAsia PacificEMEA
Canada CentralHong KongBahrain
Northern CaliforniaJakartaCape Town
Northern VirginiaMumbaiFrankfurt
OhioOsakaIreland
OregonSeoulLondon
São PauloSingaporeMilan
SydneyParis
TokyoStockholm

GCP:

AmericasAsia PacificEMEA
DallasTokyoFrankfurt
Los Angeles
Oregon
Virginia

Azure:

RegionLocation
AmericasVirginia

The Datadog for Government site (US1-FED) uses the following managed location:

RegionLocation
AmericasUS-West

テストの頻度を指定する

SSL テストは次の頻度で実行できます。

  • On a schedule: SSL/TLS 証明書が常に有効であり、主要なサービスのユーザーへの安全な接続が確保されるようにします。Datadog で SSL テストを実行する頻度を選択します。
  • Within your CI/CD pipelines
  • On-demand: チームにとって最も意味のあるときにいつでもテストを実行します。

アラート条件を定義する

アラート条件で、テストが失敗しアラートをトリガーする状況を設定します。

アラート設定規則

アラートの条件を An alert is triggered if any assertion fails for X minutes from any n of N locations に設定すると、次の 2 つの条件が当てはまる場合にのみアラートがトリガーされます。

  • 直近 X 分間に、最低 1 個のロケーションで失敗 (最低 1 つのアサーションが失敗)、
  • 直近 X 分間に、ある時点で最低 n 個のロケーションで失敗。

高速再試行

テストが失敗した場合、Y ミリ秒後に X 回再試行することができます。再試行の間隔は、警告の感性に合うようにカスタマイズしてください。

ロケーションのアップタイムは、評価ごとに計算されます (評価前の最後のテスト結果がアップかダウンか)。合計アップタイムは、構成されたアラート条件に基づいて計算されます。送信される通知は、合計アップタイムに基づきます。

テストモニターを構成する

以前に定義されたアラート条件に基づいて、テストによって通知が送信されます。このセクションを使用して、チームに送信するメッセージの方法と内容を定義します。

  1. モニターの構成方法と同様、メッセージに @notification を追加するか、ドロップダウンメニューでチームメンバーと接続されたインテグレーションを検索して、通知を受信するユーザーやサービスを選択します。

  2. テストの通知メッセージを入力します。このフィールドでは、標準のマークダウン形式のほか、以下の条件付き変数を使用できます。

    条件付き変数説明
    {{ #is_alert }}テストがアラートを発する場合に表示します。
    {{ ^is_alert }}テストがアラートを発しない限り表示します。
    {{ #is_recovery }}テストがアラートから回復したときに表示します。
    {{ ^is_recovery }}テストがアラートから回復しない限り表示します。
    {{ #is_renotify }}モニターが再通知したときに表示します。
    {{ ^is_renotify }}モニターが再通知しない限り表示します。
    {{ #is_priority }}モニターが優先順位 (P1~P5) に一致したときに表示します。
    {{ ^is_priority }}モニターが優先順位 (P1~P5) に一致しない限り表示します。

  3. テストが失敗した場合に、テストで通知メッセージを再送信する頻度を指定します。テストの失敗を再通知しない場合は、Never renotify if the monitor has not been resolved オプションを使用してください。

  4. Create をクリックすると、テストの構成とモニターが保存されます。

詳しくは、Synthetic テストモニターの使用をご覧ください。

Create local variables

To create a local variable, click + All steps > Variables. You can select one of the following available builtins to add to your variable string:

{{ numeric(n) }}
Generates a numeric string with n digits.
{{ alphabetic(n) }}
Generates an alphabetic string with n letters.
{{ alphanumeric(n) }}
Generates an alphanumeric string with n characters.
{{ date(n unit, format) }}
Generates a date in one of Datadog’s accepted formats with a value corresponding to the UTC date the test is initiated at + or - n units.
{{ timestamp(n, unit) }}
Generates a timestamp in one of Datadog’s accepted units with a value corresponding to the UTC timestamp the test is initiated at +/- n units.
{{ uuid }}
Generates a version 4 universally unique identifier (UUID).
{{ public-id }}
Injects the Public ID of your test.
{{ result-id }}
Injects the Result ID of your test run.

To obfuscate local variable values in test results, select Hide and obfuscate variable value. Once you have defined the variable string, click Add Variable.

変数を使用する

SSL テストの URL、高度なオプション、アサーションで、Settings ページで定義されたグローバル変数を使用することができます。

変数のリストを表示するには、目的のフィールドに {{ と入力します。

テストの失敗

テストが 1 つ以上のアサーションを満たさない場合、またはリクエストが時期尚早に失敗した場合、テストは FAILED と見なされます。場合によっては、エンドポイントに対してアサーションをテストすることなくテストが実際に失敗することがあります。

これらの理由には以下が含まれます。

CONNRESET
接続がリモートサーバーによって突然閉じられました。Web サーバーにエラーが発生した、応答中にシステムが停止した、Web サーバーへの接続が失われた、などの原因が考えられます。
DNS
テスト URL に対応する DNS エントリが見つかりませんでした。原因としては、テスト URL の誤構成や DNS エントリの誤構成が考えられます。
INVALID_REQUEST
テストのコンフィギュレーションが無効です (URL に入力ミスがあるなど)。
SSL
SSL 接続を実行できませんでした。詳細については、個別のエラーページを参照してください
TIMEOUT
リクエストを一定時間内に完了できなかったことを示します。TIMEOUT には 2 種類あります。
  • TIMEOUT: The request couldn't be completed in a reasonable time. は、リクエストの持続時間がテスト定義のタイムアウト (デフォルトは 60 秒に設定されています) に当たったことを示します。 各リクエストについて、ネットワークウォーターフォールに表示されるのは、リクエストの完了したステージのみです。例えば、Total response time だけが表示されている場合、DNS の解決中にタイムアウトが発生したことになります。
  • TIMEOUT: Overall test execution couldn't be completed in a reasonable time. は、テスト時間 (リクエスト+アサーション) が最大時間 (60.5s) に達したことを示しています。

権限

デフォルトでは、Datadog 管理者および Datadog 標準ロールを持つユーザーのみが、Synthetic SSL テストを作成、編集、削除できます。Synthetic SSL テストの作成、編集、削除アクセスを取得するには、ユーザーをこれら 2 つのデフォルトのロールのいずれかにアップグレードします。

カスタムロール機能を使用している場合は、synthetics_read および synthetics_write 権限を含むカスタムロールにユーザーを追加します。

アクセス制限

Use granular access control to limit who has access to your test based on roles, teams, or individual users:

  1. Open the permissions section of the form.
  2. Click Edit Access.
Set permissions for your test from Private Locations configuration form
  1. Click Restrict Access.
  2. Select teams, roles, or users.
  3. Click Add.
  4. Select the level of access you want to associate with each of them.
  5. Click Done.
Note: You can view results from a Private Location even without Viewer access to that Private Location.
Access levelView test configurationEdit test configurationView test resultsRun test
No access
ViewerYesYes
EditorYesYesYesYes

その他の参考資料

お役に立つドキュメント、リンクや記事:

Datadog Synthetic モニタリングの紹介ブログ more more API テストの概要DOCUMENTATION more more 内部ホストで SSL テストを実行するDOCUMENTATION more more Synthetic テストモニターについてドキュメント more more