Azure Key Vault bewaken

  • Artikel

Wanneer u kritieke toepassingen en bedrijfsprocessen hebt die afhankelijk zijn van Azure-resources, kunt u de beschikbaarheid, prestaties en werking van deze resources bewaken. Voor Azure Key Vault is het belangrijk om uw service te bewaken wanneer u begint te schalen, omdat het aantal aanvragen dat naar uw sleutelkluis wordt verzonden, toeneemt. Dit heeft een potentieel om de latentie van uw aanvragen te verhogen en, in extreme gevallen, ervoor te zorgen dat uw aanvragen worden beperkt, wat van invloed is op de prestaties van uw service.

In dit artikel worden de bewakingsgegevens beschreven die zijn gegenereerd door Key Vault. Key Vault maakt gebruik van Azure Monitor. Als u niet bekend bent met de functies van Azure Monitor die gangbaar zijn voor alle Azure-services die deze gebruiken, leest u Bewaking van Azure-resources met Azure Monitor.

Overzichtspagina bewaking in Azure Portal

De pagina Overzicht in Azure Portal voor elke sleutelkluis bevat de volgende metrische gegevens op het tabblad Bewaking:

  • Totale verzoeken
  • Gemiddelde latentie
  • Succesverhouding

U kunt 'extra metrische gegevens' (of het tabblad Metrische gegevens in de zijbalk aan de linkerkant onder Bewaking) selecteren om deze metrische gegevens ook weer te geven:

  • Algemene service-API-latentie
  • Algemene beschikbaarheid van de kluis
  • Algehele verzadiging van kluis
  • Totaal aantal API-treffers voor de service
  • Totaal aantal api-resultaten van de service

Key Vault-inzichten

Sommige services in Azure hebben een speciaal vooraf gebouwd bewakingsdashboard in Azure Portal dat een beginpunt biedt voor het bewaken van uw service. Deze speciale dashboards worden 'inzichten' genoemd.

Key Vault-inzichten bieden uitgebreide bewaking van uw sleutelkluizen door een uniforme weergave te bieden van uw Key Vault-aanvragen, prestaties, fouten en latentie. Zie Uw sleutelkluisservice bewaken met Key Vault-inzichten voor meer informatie.

Bewakingsgegevens

Key Vault verzamelt dezelfde soorten bewakingsgegevens als andere Azure-resources die worden beschreven in Bewakingsgegevens van Azure-resources.

Zie Key Vault-gegevensverwijzing bewaken voor gedetailleerde informatie over de metrische gegevens en logboeken die zijn gemaakt door Key Vault.

Verzameling en routering

Metrische platformgegevens en het activiteitenlogboek worden automatisch verzameld en opgeslagen, maar kunnen worden gerouteerd naar andere locaties met behulp van een diagnostische instelling.

Resourcelogboeken worden pas verzameld en opgeslagen wanneer u een diagnostische instelling maakt en deze naar een of meer locaties routeert.

Zie Diagnostische instelling maken voor het verzamelen van platformlogboeken en metrische gegevens in Azure voor het gedetailleerde proces voor het maken van een diagnostische instelling met behulp van Azure Portal, de CLI of PowerShell. Wanneer u een diagnostische instelling maakt, geeft u op welke categorieën logboeken moeten worden verzameld. De categorieën voor Key Vault worden vermeld in de naslaginformatie over key Vault-bewakingsgegevens.

Zie Logboekregistratie van Key Vault inschakelen om een diagnostische instelling voor uw sleutelkluis te maken. De metrische gegevens en logboeken die u kunt verzamelen, worden in de volgende secties besproken.

Metrische gegevens analyseren

U kunt metrische gegevens voor Key Vault analyseren met metrische gegevens van andere Azure-services met behulp van Metrics Explorer door Metrische gegevens te openen vanuit het Menu Van Azure Monitor. Zie Metrische gegevens analyseren met Azure Monitor Metrics Explorer voor meer informatie over het gebruik van dit hulpprogramma.

Zie Metrische gegevens van Key Vault bewaken voor een lijst met metrische gegevens van het platform die zijn verzameld voor Key Vault

Logboeken analyseren

Gegevens in Azure Monitor-logboeken worden opgeslagen in tabellen waarin elke tabel een eigen set unieke eigenschappen heeft.

Alle resourcelogboeken in Azure Monitor hebben dezelfde velden, gevolgd door servicespecifieke velden. Het algemene schema wordt beschreven in het schema voor resourcelogboeken van Azure Monitor

Het activiteitenlogboek is een type platformlogboek in Azure dat inzicht biedt in gebeurtenissen op abonnementsniveau. U kunt deze onafhankelijk bekijken of doorsturen naar Azure Monitor-logboeken, waar u veel complexere query's kunt uitvoeren met behulp van Log Analytics.

Zie Key Vault-gegevensverwijzing bewaken voor een lijst met de typen resourcelogboeken die zijn verzameld voor Key Vault

Zie Key Vault-gegevensverwijzing bewaken voor een lijst met tabellen die worden gebruikt door Azure Monitor-logboeken en query's uitvoeren door Log Analytics

Voorbeeldquery's voor Kusto

Belangrijk

Wanneer u Logboeken selecteert in het menu Key Vault, wordt Log Analytics geopend met het querybereik ingesteld op de huidige sleutelkluis. Dit betekent dat logboekquery's alleen gegevens uit die resource bevatten. Als u een query wilt uitvoeren die gegevens uit andere sleutelkluizen of gegevens uit andere Azure-services bevat, selecteert u Logboeken in het Menu Azure Monitor . Zie Log-querybereik en tijdsbereik in Azure Monitor Log Analytics voor meer informatie.

Hier volgen enkele query's die u kunt invoeren in de zoekbalk voor logboeken om u te helpen bij het bewaken van uw Key Vault-resources. Deze query's werken met de nieuwe taal.

  • Zijn er clients die gebruikmaken van oude TLS-versie (<1.2)?

    AzureDiagnostics
| where TimeGenerated > ago(90d) 
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0
| project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s)
| sort by TimeGenerated desc

  • Zijn er trage aanvragen?

    // List of KeyVault requests that took longer than 1sec. 
// To create an alert for this query, click '+ New alert rule'
let threshold=1000; // let operator defines a constant that can be further used in the query

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where DurationMs > threshold
| summarize count() by OperationName, _ResourceId

  • Zijn er fouten?

    // Count of failed KeyVault requests by status code. 
// To create an alert for this query, click '+ New alert rule'

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
| summarize count() by requestUri_s, ResultSignature, _ResourceId
// ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
// httpStatusCode_d contains HTTP status code returned

  • Fouten bij het deserialisatie van invoer

    // Shows errors caused due to malformed events that could not be deserialized by the job. 
// To create an alert for this query, click '+ New alert rule'

AzureDiagnostics
| where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
| project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId

  • Hoe actief is deze KeyVault geweest?

    // Line chart showing trend of KeyVault requests volume, per operation over time. 
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
// Filter on ResourceProvider for logs specific to a service.

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
| render timechart

  • Wie deze KeyVault aanroept?

    // List of callers identified by their IP address with their request count.  
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
// Filter on ResourceProvider for logs specific to a service.

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| summarize count() by CallerIPAddress

  • Hoe snel verwerkt deze KeyVault aanvragen?

    // Line chart showing trend of request duration over time using different aggregations. 

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
| render timechart

  • Welke wijzigingen zijn de afgelopen maand opgetreden?

    // Lists all update and patch requests from the last 30 days. 
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
// Filter on ResourceProvider for logs specific to a service.

AzureDiagnostics
| where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
| where ResourceProvider =="MICROSOFT.KEYVAULT" 
| where OperationName == "VaultPut" or OperationName == "VaultPatch"
| sort by TimeGenerated desc

Waarschuwingen

Met Azure Monitor-waarschuwingen wordt u proactief op de hoogte gesteld wanneer aan bepaalde belangrijke voorwaarden wordt voldaan in uw controlegegevens. Hiermee kunt u problemen in uw systeem snel identificeren en oplossen. U kunt waarschuwingen instellen voor metrische gegevens, logboeken en het activiteitenlogboek.

Als u een toepassing maakt of uitvoert die wordt uitgevoerd in Azure Key Vault, biedt Azure Monitor Application Insights mogelijk extra typen waarschuwingen.

Hier volgen enkele algemene en aanbevolen waarschuwingsregels voor Azure Key Vault:

  • Beschikbaarheid van Key Vault daalt onder de 100% (statische drempelwaarde)
  • Key Vault-latentie is groter dan 1000 ms (statische drempelwaarde)
  • Algehele verzadiging van kluis is groter dan 75% (statische drempelwaarde)
  • Algehele verzadiging van kluis overschrijdt het gemiddelde (dynamische drempelwaarde)
  • Totaal aantal foutcodes hoger dan gemiddeld (dynamische drempelwaarde)

Zie Waarschuwingen voor Azure Key Vault voor meer informatie.

Volgende stappen