Share via

Az Azure Key Vault monitorozása

  • Cikk

When you have critical applications and business processes relying on Azure resources, you want to monitor those resources for their availability, performance, and operation. Az Azure Key Vault esetében fontos, hogy a skálázás megkezdésekor figyelje a szolgáltatást, mert a kulcstartónak küldött kérések száma nőni fog. Ez növelheti a kérések késését, szélsőséges esetekben pedig a kérések szabályozását, ami hatással lesz a szolgáltatás teljesítményére.

Ez a cikk a Key Vault által létrehozott monitorozási adatokat ismerteti. A Key Vault az Azure Monitort használja. Ha nem ismeri az Összes Azure-szolgáltatásban használt Azure Monitor funkcióit, olvassa el az Azure-erőforrások Monitorozása az Azure Monitorral című cikket.

Monitorozás áttekintése oldal az Azure Portalon

Az Azure Portal Áttekintés lapja az egyes kulcstartókhoz a következő metrikákat tartalmazza a "Figyelés" lapon:

  • Összes kérelem
  • Átlagos késés
  • Sikerességi arány

A metrikák megtekintéséhez a "további metrikák" (vagy a bal oldali oldalsáv "Metrikák" lapjának "Figyelés" területén) kiválasztásával is megtekintheti ezeket a metrikákat:

  • A szolgáltatás API-késésének általános időtartama
  • A tároló általános rendelkezésre állása
  • A tároló teljes telítettsége
  • Szolgáltatási API-találatok összesen
  • Szolgáltatási API-eredmények összesen

Key Vault-elemzések

Az Azure egyes szolgáltatásai egy speciális, előre összeállított monitorozási irányítópulttal rendelkeznek az Azure Portalon, amely kiindulópontot biztosít a szolgáltatás monitorozásához. Ezeket a speciális irányítópultokat "elemzéseknek" nevezzük.

A Key Vault-elemzések a Key Vault-kérelmek, a teljesítmény, a hibák és a késés egységes nézetének biztosításával biztosítják a kulcstartók átfogó monitorozását. További részletekért lásd : A Key Vault szolgáltatás figyelése Key Vault-elemzésekkel.

Adatok monitorozása

A Key Vault ugyanazokat a monitorozási adatokat gyűjti, mint a többi Azure-erőforrás, amelyeket az Azure-erőforrások adatainak monitorozása című cikkben ismertet.

A Key Vault által létrehozott metrikákkal és naplókkal kapcsolatos részletes információkért tekintse meg a Key Vault adathivatkozásának figyelését.

Gyűjtés és útválasztás

A platformmetrikákat és a tevékenységnaplókat a rendszer automatikusan gyűjti és tárolja, de egy diagnosztikai beállítással át lehet őket irányítani egy másik helyre.

Resource Logs are not collected and stored until you create a diagnostic setting and route them to one or more locations.

Az Azure Portallal, CLI-vel vagy PowerShell-lel történő diagnosztikai beállítás részletes folyamatát a Diagnosztikai beállítás létrehozása platformnaplók és metrikák gyűjtéséhez az Azure-ban című cikk ismerteti. Diagnosztikai beállítás létrehozásakor meg kell adnia a gyűjtendő naplók kategóriáit. A Key Vault kategóriái a Key Vault monitorozási adathivatkozásában találhatók.

A key vault diagnosztikai beállításának létrehozásáról a Key Vault naplózásának engedélyezése című témakörben olvashat. Az összegyűjthető metrikákat és naplókat az alábbi szakaszok ismertetik.

Metrikák elemzése

A Key Vault metrikáit elemezheti más Azure-szolgáltatások metrikáival a Metrics Explorer használatával, ha megnyitja a Metrikákat az Azure Monitor menüből. Az eszköz használatával kapcsolatos részletekért tekintse meg a metrikák elemzése az Azure Monitor metrikakezelőjével című témakört.

A Key Vaulthoz gyűjtött platformmetrikák listájáért tekintse meg a Key Vault adathivatkozási metrikáinak monitorozását ismertető témakört

Naplók elemzése

Az Azure Monitor-naplók adatai olyan táblákban vannak tárolva, amelyekben minden tábla saját egyedi tulajdonságokkal rendelkezik.

Az Azure Monitor összes erőforrásnaplója ugyanazokkal a mezőkkel rendelkezik, amelyeket a szolgáltatásspecifikus mezők követnek. A gyakori sémát az Azure Monitor erőforrásnapló-sémája ismerteti

A tevékenységnapló az Azure platformnaplójának egy típusa, amely betekintést nyújt az előfizetési szintű eseményekbe. Megtekintheti önállóan, vagy átirányíthatja az Azure Monitor-naplókba, ahol sokkal összetettebb lekérdezéseket végezhet a Log Analytics használatával.

A Key Vaulthoz gyűjtött erőforrásnaplók típusainak listáját lásd : Key Vault-adatok figyelése

Az Azure Monitor-naplók által használt és a Log Analytics által lekérdezhető táblák listájáért tekintse meg a Key Vault adathivatkozásának figyelését

Kusto-lekérdezések mintája

Fontos

Amikor a Key Vault menüjében a Naplók lehetőséget választja, a Log Analytics megnyílik, és a lekérdezés hatóköre az aktuális kulcstartóra van állítva. Ez azt jelenti, hogy a napló lekérdezései csak az adott erőforrásból származó adatokat tartalmazzák. Ha olyan lekérdezést szeretne futtatni, amely más kulcstartókból vagy más Azure-szolgáltatásokból származó adatokat tartalmaz, válassza a Naplók lehetőséget az Azure Monitor menüjében. A részletekért tekintse meg az Azure Monitor Log Analytics napló lekérdezési hatókörét és időtartományát.

Íme néhány lekérdezés, amelyet a Napló keresősávjába írhat be, hogy segítsen a Key Vault erőforrásainak figyelésében. Ezek a lekérdezések az új nyelvvel működnek.

  • Vannak olyan ügyfelek, amelyek a régi TLS-verziót (<1.2) használják?

    AzureDiagnostics
| where TimeGenerated > ago(90d) 
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0
| project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s)
| sort by TimeGenerated desc

  • Vannak lassú kérések?

    // List of KeyVault requests that took longer than 1sec. 
// To create an alert for this query, click '+ New alert rule'
let threshold=1000; // let operator defines a constant that can be further used in the query

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where DurationMs > threshold
| summarize count() by OperationName, _ResourceId

  • Vannak hibák?

    // Count of failed KeyVault requests by status code. 
// To create an alert for this query, click '+ New alert rule'

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
| summarize count() by requestUri_s, ResultSignature, _ResourceId
// ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
// httpStatusCode_d contains HTTP status code returned

  • Bemeneti deszerializálási hibák

    // Shows errors caused due to malformed events that could not be deserialized by the job. 
// To create an alert for this query, click '+ New alert rule'

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
| project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId

  • Milyen aktív volt ez a KeyVault?

    // Line chart showing trend of KeyVault requests volume, per operation over time. 
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
// Filter on ResourceProvider for logs specific to a service.

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
| render timechart

  • Ki hívja ezt a KeyVaultot?

    // List of callers identified by their IP address with their request count.  
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
// Filter on ResourceProvider for logs specific to a service.

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| summarize count() by CallerIPAddress

  • Milyen gyorsan szolgálja ki a KeyVault a kéréseket?

    // Line chart showing trend of request duration over time using different aggregations. 

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
| render timechart

  • Milyen változások történtek a múlt hónapban?

    // Lists all update and patch requests from the last 30 days. 
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
// Filter on ResourceProvider for logs specific to a service.

AzureDiagnostics
| where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where OperationName == "VaultPut" or OperationName == "VaultPatch"
| sort by TimeGenerated desc

Riasztások

Az Azure Monitor-riasztások proaktívan értesítik arról, ha a monitorozási adatok megfelelnek bizonyos lényeges feltételeknek. Lehetővé teszik a rendszer problémáinak előzetes azonosítását és kezelését. Riasztásokat állíthat be a metrikákra, naplókra és a tevékenységnaplóra vonatkozóan.

Ha Azure Key Vaulton futó alkalmazást hoz létre vagy futtat, az Azure Monitor alkalmazás Elemzések további típusú riasztásokat is kínálhat.

Íme néhány gyakori és ajánlott riasztási szabály az Azure Key Vaulthoz –

  • A Key Vault rendelkezésre állása 100% alá csökken (statikus küszöbérték)
  • A Key Vault késése nagyobb, mint 1000 ms (statikus küszöbérték)
  • A tároló teljes telítettsége nagyobb, mint 75% (statikus küszöbérték)
  • A tároló teljes telítettsége meghaladja az átlagot (dinamikus küszöbérték)
  • Az átlagnál nagyobb összes hibakód (dinamikus küszöbérték)

További részletekért tekintse meg az Azure Key Vault riasztását.

Következő lépések