Memantau Azure Key Vault

Bila Anda memiliki aplikasi dan proses bisnis yang penting dan mengandalkan sumber Azure, sebaiknya Anda memantau sumber tersebut untuk mengetahui ketersediaan, performa, dan operasinya. Untuk Azure Key Vault, penting untuk memantau layanan saat Anda mulai melakukan penyesuaian, karena jumlah permintaan yang dikirim ke lemari besi utama Anda akan meningkat. Hal ini berpotensi meningkatkan latensi permintaan dan dalam kasus yang ekstrem, dapat menyebabkan permintaan Anda dibatasi yang akan memengaruhi performa layanan.

Artikel ini menjelaskan data pemantauan yang dihasilkan oleh Key Vault. Brankas kunci menggunakan Azure Monitor. Jika Anda tidak terbiasa dengan fitur Azure Monitor yang umum bagi semua layanan Azure yang menggunakannya, baca Memantau sumber daya Azure dengan Azure Monitor.

Memantau halaman ringkasan di portal Azure

Halaman Ringkasan di portal Azure untuk setiap brankas kunci menyertakan metrik berikut di tab "Pemantauan":

• Jumlah permintaan
• Latensi Rata-rata
• Tingkat keberhasilan

Anda dapat memilih "metrik tambahan" (atau tab "Metrik" di bar samping kiri, di bawah "Pemantauan") untuk melihat metrik ini juga:

• Keseluruhan latensi API layanan
• Keseluruhan ketersediaan vault
• Keseluruhan saturasi vault
• Total temuan API layanan
• Total hasil API layanan

Wawasan Key Vault

Beberapa layanan di Azure memiliki dasbor pemantauan bawaan khusus yang difokuskan di portal Microsoft Azure yang menyediakan titik awal untuk memantau layanan Anda. Dasbor khusus ini disebut "wawasan".

Azure Monitor menyediakan pemantauan komprehensif brankas kunci Anda dengan memberikan tampilan terpadu atas permintaan, kinerja, kegagalan, dan latensi Key Vault Anda. Untuk detail lengkap, lihat Memantau layanan vault utama Anda dengan wawasan Key Vault.

Memantau data

Key Vault mengumpulkan jenis data pemantauan yang sama dengan sumber daya Azure lainnya yang dijelaskan dalam Pemantauan data dari sumber daya Azure.

Lihat Memantau referensi data Key Vault untuk informasi terperinci tentang metrik dan metrik log yang dibuat oleh Key Vault.

Pengumpulan dan perutean

Metrik platform dan Log aktivitas dikumpulkan secara otomatis, tetapi dapat dirutekan ke lokasi lain dengan menggunakan pengaturan diagnostik.

Log Sumber Daya tidak dikumpulkan dan disimpan sampai Anda membuat pengaturan diagnostik dan merutekannya ke satu atau beberapa lokasi.

Lihat Membuat pengaturan diagnostik untuk mengumpulkan log platform dan metrik di Azure untuk proses terperinci untuk membuat pengaturan diagnostik menggunakan portal Microsoft Azure, CLI, atau PowerShell. Saat membuat pengaturan diagnostik, Anda menentukan kategori log yang akan dikumpulkan. Kategori untuk Key Vault tercantum dalam referensi data pemantauan Key Vault.

Untuk membuat pengaturan diagnostik untuk lemari besi utama Anda, lihat Aktifkan pembuatan log Key Vault. Metrik dan log yang dapat Anda kumpulkan dibahas di bagian berikut.

Menganalisis metrik

Anda dapat menganalisis metrik untuk Key Vault dengan metrik dari layanan Azure lainnya menggunakan penjelajah metrik dengan membuka Metrik dari menu Azure Monitor. Lihat Menganalisis metrik dengan penjelajah metrik Azure Monitor untuk detail tentang menggunakan alat ini.

Untuk daftar metrik platform yang dikumpulkan untuk Key Vault, lihat Memantau metrik referensi data Key Vault

Menganalisis log

Data di Azure Monitor Logs disimpan dalam tabel tempat setiap tabel memiliki rangkaian properti uniknya sendiri.

Semua log sumber daya di Azure Monitor memiliki bidang yang sama diikuti dengan bidang khusus layanan. Skema umum diuraikan dalam skema log sumber daya Azure Monitor

Log aktivitas adalah jenis log platform di Azure yang memberikan wawasan tentang peristiwa tingkat langganan. Anda dapat melihatnya secara independen atau merutekannya ke Azure Monitor Logs, tempat Anda dapat melakukan kueri yang jauh lebih kompleks menggunakan Log Analytics.

Untuk daftar metrik platform yang dikumpulkan untuk Key Vault, lihat Memantau metrik referensi data Key Vault

Untuk mengetahui daftar tabel yang digunakan oleh Azure Monitor Logs dan dapat dikueri oleh Analitik Log, lihat Memantau referensi data Key Vault

Sampel kueri Kusto

Penting

Saat Anda memilih Log dari menu hub Key Vault, Log Analytics terbuka dengan cakupan kueri yang diatur ke hub vault utama saat ini. Hal ini berarti kueri log hanya akan menyertakan data dari sumber daya. Jika Anda ingin menjalankan kueri yang mencakup data dari vault utama lain atau data dari layanan Azure lainnya, pilih Log dari menu Azure Monitor. Lihat Cakupan kueri log dan rentang waktu di Azure Monitor Log Analytics untuk rinciannya.

Berikut beberapa kueri yang dapat Anda masukkan di bilah Pencarian log untuk membantu Anda memantau sumber daya Key Vault Anda. Kueri ini berfungsi dengan bahasa baru.

• Apakah ada klien yang menggunakan versi TLS lama (<1.2)?

  AzureDiagnostics
  | where TimeGenerated > ago(90d) 
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0
  | project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s)
  | sort by TimeGenerated desc
  

• Apakah ada permintaan yang lambat?

  // List of KeyVault requests that took longer than 1sec. 
  // To create an alert for this query, click '+ New alert rule'
  let threshold=1000; // let operator defines a constant that can be further used in the query
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where DurationMs > threshold
  | summarize count() by OperationName, _ResourceId
  

• Apakah ada kegagalan?

  // Count of failed KeyVault requests by status code. 
  // To create an alert for this query, click '+ New alert rule'
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
  | summarize count() by requestUri_s, ResultSignature, _ResourceId
  // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
  // httpStatusCode_d contains HTTP status code returned
  

• Kesalahan deserialisasi input

  // Shows errors caused due to malformed events that could not be deserialized by the job. 
  // To create an alert for this query, click '+ New alert rule'
  
  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
  | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
  

• Seberapa aktif KeyVault ini?

  // Line chart showing trend of KeyVault requests volume, per operation over time. 
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
  | render timechart
  
  

• Siapa memanggil KeyVault ini?

  // List of callers identified by their IP address with their request count.  
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT"
  | summarize count() by CallerIPAddress
  

• Seberapa cepat KeyVault ini melayani permintaan?

  // Line chart showing trend of request duration over time using different aggregations. 
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
  | render timechart
  

• Perubahan apa yang terjadi bulan lalu?

  // Lists all update and patch requests from the last 30 days. 
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where OperationName == "VaultPut" or OperationName == "VaultPatch"
  | sort by TimeGenerated desc
  

Peringatan

Pemberitahuan Azure Monitor secara proaktif memberi tahu Anda ketika kondisi penting ditemukan dalam data pemantauan Anda. Pemberitahuan ini memungkinkan Anda mengidentifikasi dan mengatasi masalah dalam sistem Anda sebelum pelanggan Anda mengetahuinya. Anda dapat mengatur pemberitahuan tentang metrik, log, dan log aktivitas.

Jika Anda membuat atau menjalankan aplikasi yang berjalan pada Azure Key Vault, Azure Monitor Application Insights dapat menawarkan berbagai jenis pemberitahuan tambahan.

Berikut adalah beberapa aturan pemberitahuan yang umum dan direkomendasikan untuk Azure Key Vault -

• Ketersediaan Key Vault turun di bawah 100% (Ambang Statis)
• Latensi Key Vault lebih besar dari 1000ms (Ambang Statis)
• Saturasi Vault Keseluruhan lebih besar dari 75% (Ambang Statis)
• Saturasi Vault Keseluruhan melebihi rata-rata (Ambang Dinamis)
• Total Kode Galat lebih tinggi dari rata-rata (Ambang Dinamis)

Lihat Peringatan untuk Azure Key Vault untuk detail selengkapnya.

Langkah berikutnya

• Lihat referensi data Memantau Azure Key Vault untuk referensi metrik, log, dan nilai penting lainnya yang dibuat oleh Key Vault.
• Lihat Memantau sumber daya Azure dengan Azure Monitor untuk detail tentang memantau sumber daya Azure.
• Lihat Pemberitahuan untuk Azure Key Vault