Azure Key Vault を使用して運用シークレットを格納し始めたら、キー コンテナーの正常性を監視して、サービスが意図したとおりに動作することを確認することが重要です。
サービスのスケーリングを開始すると、キー ボールトに送信されるリクエストの数が増加します。 この増加によって、要求の待機時間が長くなる可能性があります。 極端な場合には、リクエストが制限され、サービスのパフォーマンスに影響を与える可能性があります。 また、キー コンテナーが通常とは異なる数のエラー コードを送信しているかどうかを確認する必要があるため、アクセス ポリシーまたはファイアウォールの構成に関する問題をすばやく処理できます。
この記事では、キー コンテナーの状態が正常でない場合にチームにすぐに対処するよう警告できるように、しきい値を指定してアラートを構成する方法について説明します。 電子メールを (望ましくはチーム配布リストに) 送信したり、Azure Event Grid 通知を起動したり、電話番号に発信したりテキストを送信したりするアラートを構成できます。
次のアラートの種類から選択できます。
- 固定値に基づく静的アラート
- 監視対象のメトリックが、定義された時間範囲内でキー コンテナーの平均値を一定回数超えた場合にアラートを生成する動的アラート
重要
新しく構成されたアラートが通知の送信を開始するまでに最大 10 分かかる場合があります。
この記事では、Key Vault のアラートに焦点を当てます。 ログとメトリックの両方を組み合わせてグローバル監視ソリューションを提供する Key Vault 分析情報については、「 Key Vault 分析情報を使用したキー コンテナーの監視」を参照してください。
アクション グループを構成する
アクション グループは、通知とプロパティの構成可能な一覧です。 アラートを構成するための最初の手順は、アクション グループを作成してアラートの種類を選択することです。
Azure portal にサインインします。
検索ボックスで アラート を検索します。
[ アクションの管理] を選択します。
[ + アクション グループの追加] を選択します。
アクション グループの [アクションの種類] の値を選択します。 この例では、電子メールと SMS アラートを作成します。 [ 電子メール/SMS/プッシュ/音声] を選択します。
ダイアログで、電子メールと SMS の詳細を入力してから、 [OK] を選択します。
アラートのしきい値を構成する
次に、ルールを作成し、アラートをトリガーするしきい値を構成します。
Azure portal でキー コンテナー リソースを選択してから、[監視] の下にある [アラート] を選択します。
[新しいアラート ルール] を選択します。
アラート ルールのスコープを選択します。 1 つのボールトまたは複数のボールトを選択できます。
重要
アラートの対象範囲に複数のボールトを選択する場合、選択したすべてのボールトが同じリージョンに存在する必要があります。 異なるリージョンのボールトに対して個別のアラートルールを設定する必要があります。
アラートのロジックを定義するしきい値を選択し、[ 追加] を選択します。 Key Vault チームは、ほとんどのアプリケーションに対して次のしきい値を構成することをお勧めしますが、アプリケーションのニーズに応じて調整できます。
- Key Vault の可用性が 100% を下回る (静的しきい値)
重要
現在、このアラートには実行時間の長い操作が誤って含まれており、サービスが利用できないと報告しています。 Key Vault ログを監視して、サービスが使用できないために操作が失敗しているかどうかを確認できます
- Key Vault の待機時間が 1000 ミリ秒 (静的しきい値) を超えています
注
1,000 ミリ秒のしきい値の目的は、このリージョンの Key Vault サービスのワークロードが平均より高いことを通知することです。 Key Vault 操作の SLA は数倍高くなっています。現在の SLA については、 オンライン サービスのサービス レベル アグリーメント を参照してください。 Key Vault の操作が SLA の範囲外である場合にアラートを送信するには、SLA ドキュメントのしきい値を使用してください。
- コンテナーの全体的な飽和度が 75% を超える (静的しきい値)
- コンテナーの全体的な飽和度が平均を超える (動的しきい値)
- 合計エラー コードが平均より高い (動的しきい値)
例: 待機時間に対する静的アラートのしきい値の構成
シグナル名として[ 全体的なサービス API 待機時間 ]を選択します。
次の構成パラメーターを使用します。
- [しきい値] を [静的] に設定します。
- 演算子 を より大きい にする。
- [集計の種類] を [平均] に設定します。
- [しきい値] を [1000] に設定します。
- 集計の粒度 (期間) を 5 分に設定します。
- [ 評価の頻度] を [1 分ごと] に設定します。
完了を選択します。
例: コンテナーの飽和度に対する動的アラートのしきい値の構成
動的アラートを使用すると、選択したキーボールトの履歴データを表示できます。 青い領域は、キーボールトの平均使用量を表します。 赤い領域には、アラート構成の他の条件が満たされた場合にアラートをトリガーした可能性のあるスパイクが表示されます。 赤い点は、集約された時間枠中にアラートの条件が満たされた違反のインスタンスを示しています。
一定時間内に特定の数の違反が発生した後に発生するようにアラートを設定できます。 過去のデータを含めない場合は、詳細設定で除外するオプションがあります。
次の構成パラメーターを使用します。
- ディメンション名 を トランザクションタイプ に設定し、ディメンション値 を vaultoperation に設定します。
- [しきい値] を [動的] に設定します。
- [演算子] を [より大きい] に設定します。
- [集計の種類] を [平均] に設定します。
- [しきい値の感度] を [中] に設定します。
- 集計の粒度 (期間) を 5 分に設定します。
- 評価 の頻度 を 5 分ごとに設定します。
- 詳細設定を構成します (省略可能)。
完了を選択します。
[ 追加] を選択して、構成したアクション グループを追加します。
アラートの詳細で、アラートを有効にし、重大度を割り当てます。
アラートを作成します。
電子メール アラートの例
すべての手順に従った場合、構成したアラート条件をキー ボールトが満たしたときに、電子メール アラートを受け取ることができます。 次の電子メール アラートは例です。
例: 有効期限が近い証明書のログ クエリ アラート
有効期限が切れようとしている証明書について通知するアラートを設定できます。
注
証明書の有効期限が近いイベントは、有効期限の 30 日前にログに記録されます。
[ログ] に移動し、クエリ ウィンドウに下のクエリを貼り付けます
AzureDiagnostics | where OperationName =~ 'CertificateNearExpiryEventGridNotification' | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d) | extend DaysTillExpire = datetime_diff("Day", CertExpire, now()) | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
[新しいアラート ルール] を選択する
[ 条件] タブで、次の構成を使用します。
- [測定] で、集計の粒度を 1 日に設定します
- ディメンションで分割で、リソースID列をResourceIdに設定します。
- CertName と DayTillExpire をディメンションとして設定します。
- アラート ロジックで、しきい値を0 に設定し、評価の頻度を 1 日に設定します。
[ アクション] タブで、電子メールを送信するようにアラートを構成する
- アクション グループの作成を選択する
- アクション グループの作成を構成する
- 電子メールを送信するように通知を構成する
- 警告アラートをトリガーするように詳細を構成する
- [確認と作成] を選択します
- アクション グループの作成を選択する
次のステップ
この記事で設定したツールを使用して、キー コンテナーの正常性をアクティブに監視します。