Teilen über

Konfigurieren von Azure Key Vault-Warnungen

Nachdem Sie mit azure Key Vault begonnen haben, Ihre Produktionsgeheimnisse zu speichern, ist es wichtig, den Status Ihres Schlüsseltresors zu überwachen, um sicherzustellen, dass Ihr Dienst wie vorgesehen funktioniert.

Wenn Sie beginnen, Ihren Dienst zu skalieren, steigt die Anzahl der Anfragen, die an Ihre Schlüsselverwaltung gesendet werden. Dieser Anstieg hat das Potenzial, die Latenz Ihrer Anforderungen zu erhöhen. In Extremfällen kann dies dazu führen, dass Ihre Anforderungen gedrosselt werden und die Leistung Ihres Diensts beeinträchtigt ist. Sie müssen auch wissen, ob Ihr Schlüsseltresor eine ungewöhnliche Anzahl von Fehlercodes sendet, damit Sie schnell probleme mit einer Zugriffsrichtlinie oder Firewallkonfiguration behandeln können.

In diesem Artikel wird gezeigt, wie Sie Warnungen bei bestimmten Schwellenwerten konfigurieren, damit Ihr Team sofort benachrichtigt wird, wenn sich Ihr Schlüsseltresor in einem fehlerhaften Zustand befindet. Sie können Warnungen konfigurieren, mit denen eine E-Mail gesendet (vorzugsweise an eine Verteilerliste für ein Team), eine Azure Event Grid-Benachrichtigung ausgelöst, eine Telefonnummer angerufen oder eine SMS gesendet wird.

Sie können zwischen den folgenden Warnungstypen wählen:

  • Eine statische Warnung basierend auf einem festen Wert
  • Eine dynamische Warnung, die Sie benachrichtigt, wenn eine überwachte Metrik den durchschnittlichen Grenzwert in Ihrem Key Vault innerhalb eines definierten Zeitraums eine bestimmte Anzahl von Malen überschreitet.

Wichtig

Es kann bis zu 10 Minuten dauern, bis neu konfigurierte Warnungen damit beginnen, Benachrichtigungen zu versenden.

Dieser Artikel konzentriert sich auf Warnungen für Key Vault. Informationen zu Key Vault Insights, die sowohl Protokolle als auch Metriken kombiniert, um eine globale Überwachungslösung bereitzustellen, finden Sie unter Überwachen Ihres Schlüsseltresors mit Key Vault Insights.

Konfigurieren einer Aktionsgruppe

Eine Aktionsgruppe ist eine konfigurierbare Liste mit Benachrichtigungen und Eigenschaften. Der erste Schritt beim Konfigurieren von Warnungen ist das Erstellen einer Aktionsgruppe und die Auswahl eines Warnungstyps:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im Suchfeld nach Warnungen .

  3. Wählen Sie "Aktionen verwalten" aus.

    Screenshot, der die Schaltfläche

  4. Wählen Sie +Aktionsgruppe hinzufügen aus.

    Screenshot, der die Schaltfläche zum Hinzufügen einer Aktionsgruppe hervorhebt.

  5. Wählen Sie den Aktionstypwert für Ihre Aktionsgruppe aus. In diesem Beispiel erstellen wir eine E-Mail- und SMS-Benachrichtigung. Wählen Sie "E-Mail/SMS/Push/VoIP" aus.

    Screenshot, der die Auswahl zum Hinzufügen einer Aktionsgruppe hervorhebt.

  6. Geben Sie im Dialogfeld E-Mail- und SMS-Details ein, und wählen Sie dann OK aus.

    Screenshot: Auswahl zum Hinzufügen einer E-Mail- und SMS-Warnungsmeldung.

Konfigurieren von Warnungsschwellenwerten

Erstellen Sie als Nächstes eine Regel, und konfigurieren Sie die Schwellenwerte, die eine Warnung auslösen:

  1. Wählen Sie Ihre Schlüsseltresor-Ressource im Azure-Portal aus und wählen Sie danach unter Überwachung die Option Warnungen aus.

    Screenshot der Menüoption

  2. Wählen Sie Neue Warnungsregel aus.

    Screenshot der Schaltfläche zum Hinzufügen einer neuen Warnungsregel.

  3. Legen Sie den Bereich für Ihre Warnungsregel fest. Sie können einen oder mehrere Tresore auswählen.

    Wichtig

    Wenn Sie mehrere Tresore für den Umfang Ihrer Warnungen auswählen, müssen sich alle ausgewählten Tresore in derselben Region befinden. Für Tresore in unterschiedlichen Regionen müssen Sie separate Warnungsregeln konfigurieren.

    Screenshot: Auswählen eines Tresors.

  4. Wählen Sie die Schwellenwerte aus, die die Logik für Ihre Warnungen definieren, und wählen Sie dann "Hinzufügen" aus. Das Key Vault-Team empfiehlt, die folgenden Schwellenwerte für die meisten Anwendungen zu konfigurieren, sie können jedoch basierend auf Ihren Anwendungsanforderungen angepasst werden:

    • Die Verfügbarkeit von Key Vault fällt unter 100 Prozent (statischer Schwellenwert)

    Wichtig

    Diese Warnung umfasst derzeit fälschlicherweise lang andauernde Vorgänge und meldet sie als Dienst, der nicht verfügbar ist. Sie können Key Vault-Protokolle überwachen, um festzustellen, ob Vorgänge fehlschlagen, da der Dienst nicht verfügbar ist

    • Key Vault-Wartezeit übersteigt 1000 ms (statischer Schwellenwert)

    Hinweis

    Die Absicht des Schwellenwerts von 1000 ms besteht darin, darüber zu informieren, dass der Key Vault-Dienst in dieser Region eine Arbeitsauslastung aufweist, die höher als der Durchschnitt ist. Unser SLA für Key Vault-Vorgänge ist wesentlich höher, siehe Service Level Agreement für Online-Dienste für den aktuellen SLA. Verwenden Sie die Schwellenwerte aus den SLA-Dokumenten, um zu benachrichtigen, wenn Key Vault-Vorgänge außerhalb der SLA sind.

    • „Tresorauslastung insgesamt“ übersteigt 75 Prozent (statischer Schwellenwert)
    • „Tresorauslastung insgesamt“ überschreitet den Durchschnitt (dynamischer Schwellwert)
    • Gesamtfehlercodes sind höher als der Durchschnitt (dynamischer Schwellenwert)

    Screenshot, der zeigt, wo Sie Bedingungen für Warnungen auswählen.

Beispiel: Konfigurieren eines statischen Warnungsschwellenwerts für die Wartezeit

  1. Wählen Sie Gesamtdienst-API-Latenz als Signalnamen aus.

    Screenshot, der das Auswählen eines Signalnamens zeigt.

  2. Verwenden Sie die folgenden Konfigurationsparameter:

    • Legen Sie Schwellenwert auf Statisch fest.
    • Legen Sie Operator auf Größer als fest.
    • Legen Sie Aggregationstyp auf Durchschnitt fest.
    • Legen Sie Schwellenwert auf 1000 fest.
    • Festlegen der Aggregations granularität (Zeitraum) auf 5 Minuten.
    • Legen Sie die Auswertungshäufigkeitauf alle 1 Minuten fest.

    Screenshot der konfigurierten Logik für einen statischen Warnungsschwellenwert.

  3. Wählen Sie Fertig aus.

Beispiel: Konfigurieren eines dynamischen Warnungsschwellenwerts für die Tresorauslastung

Wenn Sie eine dynamische Warnung verwenden, können Sie historische Daten zum ausgewählten Schlüsseltresor anzeigen. Der blaue Bereich stellt die durchschnittliche Auslastung Ihres Schlüsseltresors dar. Der rote Bereich zeigt Spitzen an, die eine Warnung ausgelöst haben, wenn andere Kriterien in der Warnungskonfiguration erfüllt wurden. Die roten Punkte zeigen Instanzen von Verstößen an, bei denen die Kriterien für die Warnung während des aggregierten Zeitfensters erfüllt wurden.

Screenshot, das ein Diagramm der Gesamtauslastung des Vaults zeigt.

Sie können einen Alarm einrichten, der nach einer bestimmten Anzahl von Verstößen innerhalb eines festgelegten Zeitraums aktiviert wird. Wenn Sie keine früheren Daten einschließen möchten, gibt es eine Option, sie in erweiterten Einstellungen auszuschließen.

  1. Verwenden Sie die folgenden Konfigurationsparameter:

    • Legen Sie den Dimensionsnamen auf Transaktionstyp - und Dimensionswerte auf Vaultoperation fest.
    • Legen Sie den Schwellenwert auf "Dynamisch" fest.
    • Legen Sie Operator auf Größer als fest.
    • Legen Sie Aggregationstyp auf Durchschnitt fest.
    • Legen Sie die Schwellenwertempfindlichkeit auf "Mittel" fest.
    • Festlegen der Aggregations granularität (Zeitraum) auf 5 Minuten.
    • Legen Sie die Auswertungshäufigkeitauf alle 5 Minuten fest.
    • Konfigurieren von erweiterten Einstellungen (optional).

    Screenshot der konfigurierten Logik für einen dynamischen Warnungsschwellenwert.

  2. Wählen Sie Fertig aus.

  3. Wählen Sie "Hinzufügen" aus, um die von Ihnen konfigurierte Aktionsgruppe hinzuzufügen.

    Screenshot der Schaltfläche zum Hinzufügen einer Aktionsgruppe.

  4. Aktivieren Sie in den Warnungsdetails die Warnung, und weisen Sie einen Schweregrad zu.

    Screenshot, der zeigt, wo die Warnung aktiviert und ein Schweregrad zugewiesen wird.

  5. Erstellen Sie die Warnung.

Beispiel für eine E-Mail-Benachrichtigung

Wenn Sie alle vorherigen Schritte befolgt haben, erhalten Sie E-Mail-Benachrichtigungen, wenn Ihr Schlüsseltresor die von Ihnen konfigurierten Benachrichtigungskriterien erfüllt. Die folgende E-Mail-Benachrichtigung ist ein Beispiel.

Screenshot, der die informationen hervorhebt, die zum Konfigurieren einer E-Mail-Benachrichtigung erforderlich sind.

Beispiel: Protokollabfragewarnung für nahezu ablaufende Zertifikate

Sie können eine Benachrichtigung festlegen, um Sie über Zertifikate zu benachrichtigen, die bald ablaufen.

Hinweis

Nahezu ablaufende Ereignisse für Zertifikate werden 30 Tage vor Ablauf protokolliert.

  1. Wechseln Sie zu Protokollen und fügen Sie die unten stehende Abfrage in das Abfragefenster ein.

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Wählen Sie Neue Warnungsregel aus.

    Screenshot des Abfragefensters mit ausgewählter neuer Warnungsregel.

  3. Verwenden Sie auf der Registerkarte "Bedingung " die folgende Konfiguration:

    • In MessungAggregationsgranularität auf 1 Tag einstellen
    • In Aufteilung nach Dimensionen setzen Sie die Ressourcen-ID-Spalte auf ResourceId.
    • Legen Sie CertName und DayTillExpire als Dimensionen fest.
    • Legen Sie in der Warnungslogikden Schwellenwert auf 0 und die Häufigkeit der Auswertung auf 1 Tag fest.

    Screenshot der Konfiguration des Warnzustands.

  4. Konfigurieren der Warnung auf der Registerkarte "Aktionen " zum Senden einer E-Mail

    1. Aktionsgruppe erstellen auswählen

      Screenshot, der zeigt, wie Sie aktionsgruppe erstellen.

    2. Konfigurieren von Aktionsgruppe erstellen

      Screenshot, der zeigt, wie Sie die Aktionsgruppe konfigurieren.

    3. Konfigurieren von Benachrichtigungen zum Senden einer E-Mail

      Screenshot, der zeigt, wie Benachrichtigungen konfiguriert werden.

    4. Konfigurieren von Details zum Auslösen einer Warnung

      Screenshot, der zeigt, wie Benachrichtigungsdetails konfiguriert werden.

    5. Wählen Sie Überprüfen + erstellen aus.

Nächste Schritte

Verwenden Sie die in diesem Artikel eingerichteten Tools, um die Integrität Ihres Schlüsseltresors zu überwachen:

  • Last updated on