Azure Key Vault-waarschuwingen configureren

  • Artikel

Nadat u Azure Key Vault hebt gebruikt om uw productiegeheimen op te slaan, is het belangrijk om de status van uw sleutelkluis te bewaken om ervoor te zorgen dat uw service werkt zoals bedoeld.

Wanneer u begint met het schalen van uw service, neemt het aantal aanvragen toe dat naar uw sleutelkluis wordt verzonden. Deze toename kan de latentie van uw aanvragen verhogen. In extreme gevallen kan dit ertoe leiden dat uw aanvragen worden beperkt en de prestaties van uw service beïnvloeden. U moet ook weten of uw sleutelkluis een ongebruikelijk aantal foutcodes verzendt, zodat u snel problemen met een toegangsbeleid of firewallconfiguratie kunt afhandelen.

In dit artikel wordt beschreven hoe u waarschuwingen configureert op opgegeven drempelwaarden, zodat u uw team kunt waarschuwen om onmiddellijk actie te ondernemen als uw sleutelkluis een slechte status heeft. U kunt waarschuwingen configureren waarmee een e-mailbericht (bij voorkeur naar een teamdistributielijst) wordt verzonden, een Azure Event Grid-melding wordt geactiveerd of een telefoonnummer wordt gebeld of gebeld.

U kunt kiezen tussen deze waarschuwingstypen:

  • Een statische waarschuwing op basis van een vaste waarde
  • Een dynamische waarschuwing die u op de hoogte stelt als een bewaakte metriek de gemiddelde limiet van uw sleutelkluis overschrijdt, een bepaald aantal keren binnen een gedefinieerd tijdsbereik

Belangrijk

Het kan tot 10 minuten duren voordat nieuwe geconfigureerde waarschuwingen meldingen verzenden.

Dit artikel is gericht op waarschuwingen voor Key Vault. Zie Uw sleutelkluis bewaken met Key Vault-inzichten en Key Vault-inzichten voor meer informatie over Key Vault-inzichten, waarbij zowel logboeken als metrische gegevens worden gecombineerd om een globale bewakingsoplossing te bieden.

Een actiegroep configureren

Een actiegroep is een configureerbare lijst met meldingen en eigenschappen. De eerste stap bij het configureren van waarschuwingen is het maken van een actiegroep en het kiezen van een waarschuwingstype:

  1. Meld u aan bij het Azure-portaal.

  2. Zoek naar waarschuwingen in het zoekvak.

  3. Selecteer Acties beheren.

    Schermopname waarin de knop Acties beheren is gemarkeerd.

  4. Selecteer + Actiegroep toevoegen.

    Schermopname met de knop voor het toevoegen van een actiegroep gemarkeerd.

  5. Kies de waarde van het actietype voor uw actiegroep. In dit voorbeeld maken we een e-mail- en sms-waarschuwing. Selecteer E-mail/sms/push/spraak.

    Schermopname waarin de selecties voor het toevoegen van een actiegroep zijn gemarkeerd.

  6. Voer in het dialoogvenster e-mail- en sms-gegevens in en selecteer VERVOLGENS OK.

    Schermopname van selecties voor het toevoegen van een e-mail- en S M S-berichtwaarschuwing.

Waarschuwingsdrempels configureren

Maak vervolgens een regel en configureer de drempelwaarden waarmee een waarschuwing wordt geactiveerd:

  1. Selecteer uw sleutelkluisresource in Azure Portal en selecteer vervolgens Waarschuwingen onder Bewaking.

    Schermopname van de menuoptie Waarschuwingen in de sectie Bewaking.

  2. Selecteer Nieuwe waarschuwingsregel.

    Schermopname van de knop voor het toevoegen van een nieuwe waarschuwingsregel.

  3. Selecteer het bereik van de waarschuwingsregel. U kunt één kluis of meerdere kluizen selecteren.

    Belangrijk

    Wanneer u meerdere kluizen selecteert voor het bereik van uw waarschuwingen, moeten alle geselecteerde kluizen zich in dezelfde regio bevinden. U moet afzonderlijke waarschuwingsregels configureren voor kluizen in verschillende regio's.

    Schermopname van hoe u een kluis kunt selecteren.

  4. Selecteer de drempelwaarden waarmee de logica voor uw waarschuwingen wordt gedefinieerd en selecteer vervolgens Toevoegen. Het Key Vault-team raadt u aan de volgende drempelwaarden voor de meeste toepassingen te configureren, maar u kunt deze aanpassen op basis van uw toepassingsbehoeften:

    • Beschikbaarheid van Key Vault daalt onder de 100 procent (statische drempelwaarde)

    Belangrijk

    Deze waarschuwing bevat momenteel onjuist langlopende bewerkingen en rapporteert deze als de service niet beschikbaar is. U kunt Key Vault-logboeken controleren om te zien of bewerkingen mislukken omdat de service niet beschikbaar is.

    • Key Vault-latentie is groter dan 1000 ms (statische drempelwaarde)

    Notitie

    De bedoeling van de drempelwaarde van 1000 ms is om te melden dat de Key Vault-service in deze regio een workload hoger heeft dan het gemiddelde. Onze SLA voor Key Vault-bewerkingen is meerdere keren hoger. Zie de Service Level Agreement voor onlineservices voor de huidige SLA. Als u wilt waarschuwen wanneer Key Vault-bewerkingen buiten de SLA vallen, gebruikt u de drempelwaarden uit de SLA-documenten.

    • Algehele verzadiging van de kluis is groter dan 75 procent (statische drempelwaarde)
    • De algehele verzadiging van de kluis overschrijdt het gemiddelde (dynamische drempelwaarde)
    • Totaalfoutcodes zijn hoger dan gemiddeld (dynamische drempelwaarde)

    Schermopname van waar u voorwaarden voor waarschuwingen selecteert.

Voorbeeld: Een statische waarschuwingsdrempel voor latentie configureren

  1. Selecteer Algemene service-API-latentie als signaalnaam.

    Schermopname van het selecteren van een signaalnaam.

  2. Gebruik de volgende configuratieparameters:

    • Stel drempelwaarde in op Statisch.
    • Stel operator in op Groter dan.
    • Stel het aggregatietype in op Gemiddelde.
    • Stel drempelwaarde in op 1000.
    • Stel Aggregatiegranulariteit (periode) in op 5 minuten.
    • Frequentie van evaluatie instellen op elke 1 minuut.

    Schermopname van de geconfigureerde logica voor een statische waarschuwingsdrempel.

  3. Selecteer Gereed.

Voorbeeld: Een dynamische waarschuwingsdrempel configureren voor verzadiging van de kluis

Wanneer u een dynamische waarschuwing gebruikt, kunt u historische gegevens bekijken van de sleutelkluis die u hebt geselecteerd. Het blauwe gebied vertegenwoordigt het gemiddelde gebruik van uw sleutelkluis. Het rode gebied toont pieken die een waarschuwing zouden hebben geactiveerd als aan andere criteria in de waarschuwingsconfiguratie werd voldaan. De rode stippen tonen gevallen van schendingen waarbij aan de criteria voor de waarschuwing is voldaan tijdens het samengevoegde tijdvenster.

Schermopname van een grafiek van de algehele verzadiging van de kluis.

U kunt een waarschuwing instellen om te worden geactiveerd na een bepaald aantal schendingen binnen een bepaalde tijd. Als u geen eerdere gegevens wilt opnemen, is er een optie om deze uit te sluiten in geavanceerde instellingen.

  1. Gebruik de volgende configuratieparameters:

    • Stel dimensienaam in op transactietype en dimensiewaarden op vaultoperation.
    • Stel drempelwaarde in op Dynamisch.
    • Stel operator in op Groter dan.
    • Stel het aggregatietype in op Gemiddelde.
    • Stel gevoeligheid voor drempelwaarde in op gemiddeld.
    • Stel Aggregatiegranulariteit (periode) in op 5 minuten.
    • Frequentie van evaluatie instellen op elke 5 minuten.
    • Geavanceerde instellingen configureren (optioneel).

    Schermopname van de geconfigureerde logica voor een dynamische waarschuwingsdrempel.

  2. Selecteer Gereed.

  3. Selecteer Toevoegen om de actiegroep toe te voegen die u hebt geconfigureerd.

    Schermopname van de knop voor het toevoegen van een actiegroep.

  4. Schakel in de details van de waarschuwing de waarschuwing in en wijs een ernst toe.

    Schermopname van waar de waarschuwing moet worden ingeschakeld en een ernst moet worden toegewezen.

  5. Maak de waarschuwing.

Voorbeeld van e-mailwaarschuwing

Als u alle voorgaande stappen hebt gevolgd, ontvangt u e-mailwaarschuwingen wanneer uw sleutelkluis voldoet aan de waarschuwingscriteria die u hebt geconfigureerd. De volgende e-mailwaarschuwing is een voorbeeld.

Schermopname waarin de informatie wordt gemarkeerd die nodig is om een e-mailwaarschuwing te configureren.

Voorbeeld: Logboekquerywaarschuwing voor certificaten voor bijna verlopen certificaten

U kunt een waarschuwing instellen om u op de hoogte te stellen van certificaten die binnenkort verlopen.

Notitie

Bijna verlopende gebeurtenissen voor certificaten worden 30 dagen vóór de vervaldatum geregistreerd.

  1. Ga naar Logboeken en plak de onderstaande query in het queryvenster

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Nieuwe waarschuwingsregel selecteren

    Schermopname van het queryvenster met de geselecteerde nieuwe waarschuwingsregel.

  3. Gebruik de volgende configuratie op het tabblad Voorwaarde :

    • In Aggregatiegranulariteit van meetsettot 1 dag
    • Stel in Splitsen op dimensiesde kolom Resource-id in op ResourceId.
    • Stel CertName en DayTillExpire in als dimensies.
    • Stel in waarschuwingslogica drempelwaarde in op 0 en frequentie van evaluatie tot 1 dag.

    Schermopname van configuratie van waarschuwingsvoorwaarde.

  4. Configureer op het tabblad Acties een waarschuwing om een e-mailbericht te verzenden

    1. Actiegroep maken selecteren

      Schermopname van het maken van een actiegroep.

    2. Actiegroep Maken configureren

      Schermopname van het configureren van een actiegroep.

    3. Meldingen configureren om een e-mailbericht te verzenden

      Schermopname die laat zien hoe u een melding configureert.

    4. Details configureren om waarschuwingswaarschuwing te activeren

      Schermopname van het configureren van meldingsgegevens.

    5. Selecteer Controleren en maken.

Volgende stappen

Gebruik de hulpprogramma's die u in dit artikel hebt ingesteld om de status van uw sleutelkluis actief te controleren: