Konfigurieren von Azure Key Vault-Warnungen

  • Artikel

Sobald Sie damit begonnen haben, Ihre Produktionsgeheimnisse in Azure Key Vault zu speichern, sollten Sie durch eine Überwachung der Integrität Ihres Schlüsseltresors sicherstellen, dass Ihr Dienst wie vorgesehen funktioniert.

Wenn Sie damit beginnen, Ihren Dienst zu skalieren, steigt die Anzahl von Anforderungen, die an Ihren Schlüsseltresor gesendet werden. Dieser Anstieg kann die Wartezeit Ihrer Anforderungen erhöhen. In Extremfällen kann dies dazu führen, dass Ihre Anforderungen gedrosselt werden und die Leistung Ihres Diensts beeinträchtigt ist. Sie müssen es außerdem erfahren, wenn Ihr Schlüsseltresor eine ungewöhnliche Anzahl von Fehlercodes sendet, damit Sie bei Problemen mit einer Zugriffsrichtlinie oder Firewallkonfiguration schnell handeln können.

In diesem Artikel wird gezeigt, wie Sie Warnungen bei bestimmten Schwellenwerten konfigurieren, damit Ihr Team sofort benachrichtigt wird, wenn sich Ihr Schlüsseltresor in einem fehlerhaften Zustand befindet. Sie können Warnungen konfigurieren, mit denen eine E-Mail gesendet (vorzugsweise an eine Verteilerliste für ein Team), eine Azure Event Grid-Benachrichtigung ausgelöst, eine Telefonnummer angerufen oder eine SMS gesendet wird.

Sie können zwischen den folgenden Warnungstypen wählen:

  • Eine statische Warnung, die auf einem festen Wert basiert
  • Eine dynamische Warnung, die Sie benachrichtigt, wenn für eine überwachte Metrik der Durchschnittsgrenzwert für Ihren Schlüsseltresor innerhalb eines definierten Zeitraums mit einer festgelegten Häufigkeit überschritten wird

Wichtig

Es kann bis zu 10 Minuten dauern, bis neu konfigurierte Warnungen damit beginnen, Benachrichtigungen zu versenden.

In diesem Artikel geht es um Warnungen für Key Vault. Informationen über Key Vault-Erkenntnisse, die sowohl Protokolle als auch Metriken in einer globalen Überwachungslösung kombinieren, finden Sie unter Überwachen Ihres Schlüsseltresordiensts mit Key Vault Insights.

Konfigurieren einer Aktionsgruppe

Eine Aktionsgruppe ist eine konfigurierbare Liste mit Benachrichtigungen und Eigenschaften. Der erste Schritt beim Konfigurieren von Warnungen ist das Erstellen einer Aktionsgruppe und die Auswahl eines Warnungstyps:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im Suchfeld nach Warnungen.

  3. Wählen Sie Aktionen verwalten aus.

    Screenshot mit hervorgehobener Schaltfläche „Aktionen verwalten“

  4. Klicken Sie auf + Aktionsgruppe hinzufügen.

    Screenshot mit hervorgehobener Schaltfläche zum Hinzufügen einer Aktionsgruppe

  5. Wählen Sie den Aktionstyp-Wert für Ihre Aktionsgruppe aus. In diesem Beispiel erstellen wir eine E-Mail- und SMS-Warnung. Wählen Sie E-Mail/SMS/Push/Sprachanruf aus.

    Screenshot mit hervorgehobener Auswahl zum Hinzufügen einer Aktionsgruppe

  6. Geben Sie im Dialogfeld E-Mail- und SMS-Details ein, und wählen Sie dann OK aus.

    Screenshot mit Auswahl zum Hinzufügen einer E-Mail- und SMS-Warnung

Konfigurieren von Warnungsschwellenwerten

Als Nächstes erstellen Sie eine Regel und konfigurieren die Schwellenwerte, die eine Warnung auslösen sollen:

  1. Wählen Sie im Azure-Portal Ihre Key Vault-Ressource aus und wählen Sie dann unter Überwachung die Option Warnungen.

    Screenshot mit Menüoption „Warnungen“ im Abschnitt „Überwachung“

  2. Wählen Sie Neue Warnungsregel aus.

    Screenshot mit Schaltfläche zum Hinzufügen einer neuen Warnungsregel

  3. Legen Sie den Bereich für Ihre Warnungsregel fest. Sie können einen oder mehrere Tresore auswählen.

    Wichtig

    Bei der Auswahl mehrerer Tresore als Bereich für Ihre Warnungen müssen sich alle ausgewählten Tresore in derselben Region befinden. Für Tresore in unterschiedlichen Regionen müssen Sie separate Warnungsregeln konfigurieren.

    Screenshot zum Auswählen eines Tresors

  4. Wählen Sie die Schwellenwerte aus, die die Logik für Ihre Warnungen definieren, und wählen Sie dann Hinzufügen. Das Key Vault-Team empfiehlt, für die meisten Anwendungen die folgenden Schwellenwerte zu konfigurieren, die Sie jedoch basierend auf Ihren Anwendungsanforderungen anpassen können:

    • Key Vault-Verfügbarkeit fällt unter 100 Prozent (statischer Schwellenwert)

    Wichtig

    Diese Warnung enthält derzeit nicht ordnungsgemäß ausgeführte Vorgänge und meldet sie als nicht verfügbarer Dienst. Sie können Key Vault-Protokolle überwachen, um festzustellen, ob Vorgänge fehlschlagen, da der Dienst nicht verfügbar ist.

    • Key Vault-Wartezeit übersteigt 1000 ms (statischer Schwellenwert)

    Hinweis

    Die Absicht des Schwellenwerts von 1000 ms besteht darin, darüber zu informieren, dass der Key Vault-Dienst in dieser Region eine Arbeitsauslastung aufweist, die höher als der Durchschnitt ist. Unser SLA für Key Vault-Vorgänge ist mehrmals höher, siehe Vereinbarung zum Servicelevel für Onlinedienste für den aktuellen SLA. Verwenden Sie die Schwellenwerte aus den SLA-Dokumenten, um zu warnen, wenn Key Vault-Vorgänge aus SLA-Dokumenten entfernt sind.

    • „Tresorauslastung insgesamt“ übersteigt 75 Prozent (statischer Schwellenwert)
    • „Tresorauslastung insgesamt“ überschreitet den Durchschnitt (dynamischer Schwellwert)
    • „Fehlercodes gesamt“ liegt über dem Durchschnitt (dynamischer Schwellwert)

    Screenshot zum Auswählen von Bedingungen für Warnungen

Beispiel: Konfigurieren eines statischen Warnungsschwellenwerts für die Wartezeit

  1. Wählen Sie als Signalname Wartezeit für Dienst-API gesamt aus.

    Screenshot zum Auswählen eines Signalnamens

  2. Verwenden Sie die folgenden Konfigurationsparameter:

    • Legen Sie Schwellenwert auf Statisch fest.
    • Legen Sie Operator auf Größer als fest.
    • Legen Sie Aggregationstyp auf Durchschnitt fest.
    • Legen Sie Schwellenwert auf 1000 fest.
    • Legen Sie Aggregationsgranularität (Zeitraum) auf 5 Minuten fest.
    • Legen Sie Häufigkeit der Auswertung auf Jede Minute fest.

    Screenshot mit konfigurierter Logik für einen statischen Warnungsschwellenwert

  3. Wählen Sie Fertigaus.

Beispiel: Konfigurieren eines dynamischen Warnungsschwellenwerts für die Tresorauslastung

Wenn Sie eine dynamische Warnung verwenden, können Sie historische Daten zum ausgewählten Schlüsseltresor anzeigen. Der blaue Bereich stellt die durchschnittliche Auslastung Ihres Schlüsseltresors dar. Der rote Bereich zeigt Spitzen, die zum Auslösen einer Warnung führen würden, wenn weitere Kriterien in der Warnungskonfiguration erfüllt sind. Die roten Punkte zeigen Verstöße, bei denen die Kriterien für die Warnung innerhalb des aggregierten Zeitfensters erfüllt waren.

Screenshot mit Graphen der Gesamttresorauslastung

Sie können eine Warnung so konfigurieren, dass sie nach einer bestimmten Anzahl von Verstößen innerhalb eines festgelegten Zeitraums ausgelöst wird. Wenn Sie vorherige Daten nicht einbeziehen möchten, können Sie sie über eine Option in den erweiterten Einstellungen ausschließen.

  1. Verwenden Sie die folgenden Konfigurationsparameter:

    • Legen Sie den Dimensionsnamen auf Transaktionstyp und die Dimensionswerte auf Vaultoperation fest.
    • Legen Sie Schwellenwert auf Dynamisch fest.
    • Legen Sie Operator auf Größer als fest.
    • Legen Sie Aggregationstyp auf Durchschnitt fest.
    • Legen Sie Schwellenwertempfindlichkeit auf Mittel fest.
    • Legen Sie Aggregationsgranularität (Zeitraum) auf 5 Minuten fest.
    • Legen Sie Häufigkeit der Auswertung auf Alle 5 Minuten fest.
    • Konfigurieren Sie die erweiterten Einstellungen (optional).

    Screenshot mit konfigurierter Logik für einen dynamischen Warnungsschwellenwert

  2. Wählen Sie Fertigaus.

  3. Wählen Sie Hinzufügen aus, um die von Ihnen konfigurierte Aktionsgruppe hinzuzufügen.

    Screenshot mit Schaltfläche zum Hinzufügen einer Aktionsgruppe

  4. Aktivieren Sie in den Warnungsdetails die Warnung, und weisen Sie einen Schweregrad zu.

    Screenshot zum Aktivieren der Warnung und zum Zuweisen eines Schweregrads

  5. Erstellen Sie die Warnung.

Beispiel-E-Mail-Warnung

Wenn Sie alle oben genannten Schritte ausgeführt haben, erhalten Sie E-Mail-Benachrichtigungen, wenn Ihr Schlüsseltresor die konfigurierten Warnungskriterien erfüllt. Die folgende E-Mail-Warnung ist ein Beispiel.

Screenshot mit hervorgehobenen Informationen, die zum Konfigurieren einer E-Mail-Warnung erforderlich sind

Beispiel: Protokollabfragewarnung für bald ablaufende Zertifikate

Sie können eine Benachrichtigung festlegen, damit Sie über Zertifikate, die bald ablaufen, benachrichtigt werden.

Hinweis

Ereignisse eines nahenden Ablaufs für Zertifikate werden 30 Tage vor dem Ablauf protokolliert.

  1. Wechseln Sie zu Protokollen, und fügen Sie die Abfrage unten in das Abfragefenster ein.

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Wählen Sie Neue Warnungsregel aus.

    Screenshot: Abfragefenster mit der ausgewählten neuen Warnungsregel

  3. Verwenden Sie auf der Registerkarte Bedingung die folgende Konfiguration:

    • Legen Sie in MessungAggregationsgranularität auf 1 Tag fest.
    • Legen Sie im Abschnitt Nach Dimensionen aufteilen die Spalte Ressourcen-ID auf ResourceId fest.
    • Legen Sie CertName und DayTillExpire als Dimensionen fest.
    • Legen Sie in Warnungslogik den Schwellenwert auf 0 und die Auswertungshäufigkeit auf 1 Tag fest.

    Screenshot: Konfiguration der Warnungsbedingung

  4. Konfigurieren Sie auf der Registerkarte Aktionen eine Warnung zum Senden einer E-Mail

    1. Wählen Sie Aktionsgruppe erstellen aus.

      Screenshot: Erstellen einer Aktionsgruppe

    2. Konfigurieren von Aktionsgruppe erstellen

      Screenshot: Konfigurieren einer Aktionsgruppe

    3. Konfigurieren von Benachrichtigungen zum Senden einer E-Mail

      Screenshot: Konfigurieren einer Benachrichtigung

    4. Konfigurieren von Details zum Auslösen einer Warnmeldung vom Typ Warnung

      Screenshot: Konfigurieren der Benachrichtigungsdetails

    5. Klicken Sie auf Überprüfen + erstellen.

Nächste Schritte

Verwenden Sie die in diesem Artikel eingerichteten Tools, um die Integrität Ihres Schlüsseltresors zu überwachen: