Azure Key Vault bewaken
In dit artikel wordt het volgende beschreven:
- De typen bewakingsgegevens die u voor deze service kunt verzamelen.
- Manieren om die gegevens te analyseren.
Notitie
Als u al bekend bent met deze service en/of Azure Monitor en alleen wilt weten hoe u bewakingsgegevens analyseert, raadpleegt u de sectie Analyseren aan het einde van dit artikel.
Wanneer u kritieke toepassingen en bedrijfsprocessen hebt die afhankelijk zijn van Azure-resources, moet u waarschuwingen voor uw systeem bewaken en ontvangen. De Azure Monitor-service verzamelt en aggregeert metrische gegevens en logboeken van elk onderdeel van uw systeem. Azure Monitor biedt een overzicht van beschikbaarheid, prestaties en tolerantie, en geeft u een overzicht van problemen. U kunt de Azure-portal, PowerShell, Azure CLI, REST API of clientbibliotheken gebruiken om bewakingsgegevens in te stellen en weer te geven.
- Zie het overzicht van Azure Monitor voor meer informatie over Azure Monitor.
- Zie Azure-resources bewaken met Azure Monitor voor meer informatie over het bewaken van Azure-resources in het algemeen.
Inzichten
Sommige services in Azure hebben een ingebouwd bewakingsdashboard in Azure Portal dat een beginpunt biedt voor het bewaken van uw service. Deze dashboards worden inzichten genoemd en u kunt ze vinden in de Insights Hub van Azure Monitor in Azure Portal.
Key Vault Insights biedt uitgebreide bewaking van uw sleutelkluizen door een uniforme weergave te bieden van uw Key Vault-aanvragen, prestaties, fouten en latentie. Zie Uw sleutelkluisservice bewaken met Key Vault-inzichten voor meer informatie.
Overzichtspagina bewaking in Azure Portal
De pagina Overzicht in Azure Portal voor elke sleutelkluis bevat de volgende metrische gegevens op het tabblad Bewaking :
- Totale verzoeken
- Gemiddelde latentie
- Succesverhouding
U kunt extra metrische gegevens of het tabblad Metrische gegevens selecteren in de zijbalk aan de linkerkant, onder Bewaking, om de volgende metrische gegevens weer te geven:
- Algemene service-API-latentie
- Algemene beschikbaarheid van de kluis
- Algehele verzadiging van kluis
- Totaal aantal API-treffers voor de service
- Totaal aantal api-resultaten van de service
Resourcetypen
Azure maakt gebruik van het concept van resourcetypen en id's om alles in een abonnement te identificeren. Resourcetypen maken ook deel uit van de resource-id's voor elke resource die wordt uitgevoerd in Azure. Eén resourcetype voor een virtuele machine is Microsoft.Compute/virtualMachines
bijvoorbeeld . Zie Resourceproviders voor een lijst met services en de bijbehorende resourcetypen.
Azure Monitor organiseert op dezelfde manier kernbewakingsgegevens in metrische gegevens en logboeken op basis van resourcetypen, ook wel naamruimten genoemd. Er zijn verschillende metrische gegevens en logboeken beschikbaar voor verschillende resourcetypen. Uw service is mogelijk gekoppeld aan meer dan één resourcetype.
Zie de naslaginformatie over azure Key Vault-bewakingsgegevens voor meer informatie over de resourcetypen voor Key Vault.
Gegevensopslag
Voor Azure Monitor:
- Metrische gegevens worden opgeslagen in de metrische gegevensdatabase van Azure Monitor.
- Logboekgegevens worden opgeslagen in het logboekarchief van Azure Monitor. Log Analytics is een hulpprogramma in Azure Portal waarmee een query kan worden uitgevoerd op dit archief.
- Het Azure-activiteitenlogboek is een afzonderlijk archief met een eigen interface in Azure Portal.
U kunt eventueel metrische gegevens en activiteitenlogboekgegevens routeren naar het logboekarchief van Azure Monitor. Vervolgens kunt u Log Analytics gebruiken om een query uit te voeren op de gegevens en deze te correleren met andere logboekgegevens.
Veel services kunnen diagnostische instellingen gebruiken om metrische gegevens en logboekgegevens te verzenden naar andere opslaglocaties buiten Azure Monitor. Voorbeelden hiervan zijn Azure Storage, gehoste partnersystemen en niet-Azure-partnersystemen, met behulp van Event Hubs.
Zie het Azure Monitor-gegevensplatform voor gedetailleerde informatie over hoe Azure Monitor gegevens opslaat.
Verzameling en routering
Metrische platformgegevens en het activiteitenlogboek worden automatisch verzameld en opgeslagen, maar kunnen worden gerouteerd naar andere locaties met behulp van een diagnostische instelling.
Resourcelogboeken worden pas verzameld en opgeslagen wanneer u een diagnostische instelling maakt en deze routeert naar een of meer locaties.
Zie Diagnostische instelling maken voor het verzamelen van platformlogboeken en metrische gegevens in Azure voor het gedetailleerde proces voor het maken van een diagnostische instelling met behulp van Azure Portal, de CLI of PowerShell. Wanneer u een diagnostische instelling maakt, geeft u op welke categorieën logboeken moeten worden verzameld. De categorieën voor Key Vault worden vermeld in de naslaginformatie over key Vault-bewakingsgegevens.
Zie Key Vault-logboekregistratie inschakelen om een diagnostische instelling voor uw sleutelkluis te maken. De metrische gegevens en logboeken die u kunt verzamelen, worden in de volgende secties besproken.
Metrische gegevens van het Azure Monitor-platform
Azure Monitor biedt metrische platformgegevens voor de meeste services. Deze metrische gegevens zijn:
- Afzonderlijk gedefinieerd voor elke naamruimte.
- Opgeslagen in de metrische gegevensdatabase van Azure Monitor.
- Lichtgewicht en in staat om bijna realtime waarschuwingen te ondersteunen.
- Wordt gebruikt om de prestaties van een resource in de loop van de tijd bij te houden.
Verzameling: Azure Monitor verzamelt automatisch metrische platformgegevens. Er is geen configuratie vereist.
Routering: U kunt sommige metrische platformgegevens ook routeren naar Azure Monitor-logboeken/Log Analytics, zodat u er query's op kunt uitvoeren met andere logboekgegevens. Controleer de DS-exportinstelling voor elke metriek om te zien of u een diagnostische instelling kunt gebruiken om de metrische gegevens te routeren naar Azure Monitor-logboeken/Log Analytics.
- Zie de diagnostische instelling voor metrische gegevens voor meer informatie.
- Zie Diagnostische instellingen maken in Azure Monitor om diagnostische instellingen voor een service te configureren.
Zie Ondersteunde metrische gegevens in Azure Monitor voor een lijst met alle metrische gegevens die kunnen worden verzameld voor alle resources in Azure Monitor.
U kunt metrische gegevens voor Key Vault analyseren met metrische gegevens van andere Azure-services met behulp van Metrics Explorer door Metrische gegevens te openen vanuit het Menu Van Azure Monitor. Zie Metrische gegevens analyseren met Azure Monitor Metrics Explorer voor meer informatie over het gebruik van dit hulpprogramma.
Zie de naslaginformatie over bewakingsgegevens van Azure Key Vault voor een lijst met beschikbare metrische gegevens voor Key Vault.
Azure Monitor-resourcelogboeken
Resourcelogboeken bieden inzicht in bewerkingen die zijn uitgevoerd door een Azure-resource. Logboeken worden automatisch gegenereerd, maar u moet ze routeren naar Azure Monitor-logboeken om ze op te slaan of er query's op uit te voeren. Logboeken zijn ingedeeld in categorieën. Een bepaalde naamruimte kan meerdere resourcelogboekcategorieën hebben.
Verzameling: Resourcelogboeken worden pas verzameld en opgeslagen als u een diagnostische instelling maakt en de logboeken doorsturen naar een of meer locaties. Wanneer u een diagnostische instelling maakt, geeft u op welke categorieën logboeken moeten worden verzameld. Er zijn meerdere manieren om diagnostische instellingen te maken en te onderhouden, waaronder Azure Portal, programmatisch en hoewel Azure Policy.
Routering: de voorgestelde standaardinstelling is het routeren van resourcelogboeken naar Azure Monitor-logboeken, zodat u er query's op kunt uitvoeren met andere logboekgegevens. Andere locaties, zoals Azure Storage, Azure Event Hubs en bepaalde Microsoft-bewakingspartners, zijn ook beschikbaar. Zie Azure-resourcelogboeken en resourcelogboekbestemmingen voor meer informatie.
Zie Diagnostische instellingen in Azure Monitor voor gedetailleerde informatie over het verzamelen, opslaan en routeren van resourcelogboeken.
Zie Ondersteunde resourcelogboeken in Azure Monitor voor een lijst met alle beschikbare resourcelogboekcategorieën in Azure Monitor.
Alle resourcelogboeken in Azure Monitor hebben dezelfde koptekstvelden, gevolgd door servicespecifieke velden. Het algemene schema wordt beschreven in het schema voor resourcelogboeken van Azure Monitor.
Zie de referentie voor bewakingsgegevens van Azure Key Vault voor de beschikbare resourcelogboekcategorieën, de bijbehorende Log Analytics-tabellen en de logboekschema's voor Key Vault.
Azure-activiteitenlogboek
Het activiteitenlogboek bevat gebeurtenissen op abonnementsniveau waarmee bewerkingen voor elke Azure-resource worden bijgehouden, zoals van buiten die resource wordt gezien; Bijvoorbeeld het maken van een nieuwe resource of het starten van een virtuele machine.
Verzameling: gebeurtenissen in activiteitenlogboeken worden automatisch gegenereerd en verzameld in een afzonderlijk archief voor weergave in Azure Portal.
Routering: U kunt activiteitenlogboekgegevens verzenden naar Azure Monitor-logboeken, zodat u deze naast andere logboekgegevens kunt analyseren. Andere locaties, zoals Azure Storage, Azure Event Hubs en bepaalde Microsoft-bewakingspartners, zijn ook beschikbaar. Zie Overzicht van het Azure-activiteitenlogboek voor meer informatie over het routeren van het activiteitenlogboek.
Logboeken analyseren
Gegevens in Azure Monitor-logboeken worden opgeslagen in tabellen waarin elke tabel een eigen set unieke eigenschappen heeft.
Alle resourcelogboeken in Azure Monitor hebben dezelfde velden, gevolgd door servicespecifieke velden. Het algemene schema wordt beschreven in het schema voor resourcelogboeken van Azure Monitor
Het activiteitenlogboek is een type platformlogboek voor Azure dat inzicht biedt in gebeurtenissen op abonnementsniveau. U kunt deze onafhankelijk bekijken of doorsturen naar Azure Monitor-logboeken, waar u veel complexere query's kunt uitvoeren met behulp van Log Analytics.
Zie Key Vault-gegevensverwijzing bewaken voor een lijst met de typen resourcelogboeken die zijn verzameld voor Key Vault
Zie Key Vault-gegevensverwijzing bewaken voor een lijst met tabellen die worden gebruikt door Azure Monitor-logboeken en query's uitvoeren door Log Analytics
Bewakingsgegevens analyseren
Er zijn veel hulpprogramma's voor het analyseren van bewakingsgegevens.
Azure Monitor-hulpprogramma's
Azure Monitor ondersteunt de volgende basishulpprogramma's:
Metrics Explorer, een hulpprogramma in Azure Portal waarmee u metrische gegevens voor Azure-resources kunt weergeven en analyseren. Zie Metrische gegevens analyseren met Azure Monitor Metrics Explorer voor meer informatie.
Log Analytics, een hulpprogramma in Azure Portal waarmee u logboekgegevens kunt opvragen en analyseren met behulp van de Kusto-querytaal (KQL). Zie Aan de slag met logboekquery's in Azure Monitor voor meer informatie.
Het activiteitenlogboek, dat een gebruikersinterface in Azure Portal heeft voor het weergeven en uitvoeren van basiszoekopdrachten. Als u uitgebreidere analyses wilt uitvoeren, moet u de gegevens routeren naar Azure Monitor-logboeken en complexere query's uitvoeren in Log Analytics.
Hulpprogramma's waarmee complexere visualisaties mogelijk zijn, zijn onder andere:
- Dashboards waarmee u verschillende soorten gegevens kunt combineren in één deelvenster in Azure Portal.
- Werkmappen, aanpasbare rapporten die u kunt maken in Azure Portal. Werkmappen kunnen tekst, metrische gegevens en logboekquery's bevatten.
- Grafana, een open platformhulpprogramma dat excelleert in operationele dashboards. U kunt Grafana gebruiken om dashboards te maken die gegevens uit meerdere andere bronnen dan Azure Monitor bevatten.
- Power BI, een business analytics-service die interactieve visualisaties biedt in verschillende gegevensbronnen. U kunt Power BI zo configureren dat logboekgegevens automatisch vanuit Azure Monitor worden geïmporteerd om te profiteren van deze visualisaties.
Azure Monitor-exporthulpprogramma's
U kunt gegevens uit Azure Monitor ophalen in andere hulpprogramma's met behulp van de volgende methoden:
Metrische gegevens: gebruik de REST API voor metrische gegevens om metrische gegevens te extraheren uit de metrische Azure Monitor-database. De API ondersteunt filterexpressies om de opgehaalde gegevens te verfijnen. Zie azure Monitor REST API-naslaginformatie voor meer informatie.
Logboeken: Gebruik de REST API of de bijbehorende clientbibliotheken.
Een andere optie is het exporteren van werkruimtegegevens.
Als u aan de slag wilt gaan met de REST API voor Azure Monitor, raadpleegt u de stapsgewijze instructies voor Azure Monitoring REST API.
Kusto-query's
U kunt bewakingsgegevens analyseren in de Azure Monitor-logboeken/Log Analytics-opslag met behulp van de Kusto-querytaal (KQL).
Belangrijk
Wanneer u Logboeken selecteert in het menu van de service in de portal, wordt Log Analytics geopend met het querybereik ingesteld op de huidige service. Dit bereik betekent dat logboekquery's alleen gegevens uit dat type resource bevatten. Als u een query wilt uitvoeren die gegevens uit andere Azure-services bevat, selecteert u Logboeken in het menu Azure Monitor . Zie Log-querybereik en tijdsbereik in Azure Monitor Log Analytics voor meer informatie.
Zie de interface voor Log Analytics-query's voor een lijst met algemene query's voor elke service.
Hier volgen enkele query's die u kunt invoeren in de zoekbalk voor logboeken om u te helpen bij het bewaken van uw Key Vault-resources. Deze query's werken met de nieuwe taal.
Zijn er clients die gebruikmaken van oude TLS-versie (<1.2)?
AzureDiagnostics | where TimeGenerated > ago(90d) | where ResourceProvider =="MICROSOFT.KEYVAULT" | where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0 | project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s) | sort by TimeGenerated desc
Zijn er trage aanvragen?
// List of KeyVault requests that took longer than 1sec. // To create an alert for this query, click '+ New alert rule' let threshold=1000; // let operator defines a constant that can be further used in the query AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | where DurationMs > threshold | summarize count() by OperationName, _ResourceId
Zijn er fouten?
// Count of failed KeyVault requests by status code. // To create an alert for this query, click '+ New alert rule' AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401) | summarize count() by requestUri_s, ResultSignature, _ResourceId // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden" // httpStatusCode_d contains HTTP status code returned
Zijn er fouten met invoerdeserialisatie?
// Shows errors caused due to malformed events that could not be deserialized by the job. // To create an alert for this query, click '+ New alert rule' AzureDiagnostics | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType") | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
Hoe actief is deze KeyVault geweest?
// Line chart showing trend of KeyVault requests volume, per operation over time. // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. // Filter on ResourceProvider for logs specific to a service. AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour | render timechart
Wie noemt deze KeyVault?
// List of callers identified by their IP address with their request count. // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. // Filter on ResourceProvider for logs specific to a service. AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | summarize count() by CallerIPAddress
Hoe snel verwerkt deze KeyVault aanvragen?
// Line chart showing trend of request duration over time using different aggregations. AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request | render timechart
Welke wijzigingen zijn de afgelopen maand opgetreden?
// Lists all update and patch requests from the last 30 days. // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. // Filter on ResourceProvider for logs specific to a service. AzureDiagnostics | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal. | where ResourceProvider =="MICROSOFT.KEYVAULT" | where OperationName == "VaultPut" or OperationName == "VaultPatch" | sort by TimeGenerated desc
Waarschuwingen
Azure Monitor-waarschuwingen melden u proactief wanneer er specifieke voorwaarden worden gevonden in uw bewakingsgegevens. Met waarschuwingen kunt u problemen in uw systeem identificeren en oplossen voordat uw klanten ze opmerken. Zie Azure Monitor-waarschuwingen voor meer informatie.
Er zijn veel bronnen van algemene waarschuwingen voor Azure-resources. Zie Voorbeeldquery's voor logboekwaarschuwingen voor voorbeelden van veelvoorkomende waarschuwingen voor Azure-resources. De site Azure Monitor Baseline Alerts (AMBA) biedt een semi-geautomatiseerde methode voor het implementeren van belangrijke metrische platformwaarschuwingen, dashboards en richtlijnen. De site is van toepassing op een voortdurend uitbreidende subset van Azure-services, inclusief alle services die deel uitmaken van de Azure Landing Zone (ALZ).
Het algemene waarschuwingsschema standaardiseert het verbruik van Azure Monitor-waarschuwingsmeldingen. Zie Algemeen waarschuwingsschema voor meer informatie.
Typen waarschuwingen
U kunt een waarschuwing ontvangen voor elke metrische gegevensbron of logboekgegevensbron in het Azure Monitor-gegevensplatform. Er zijn veel verschillende typen waarschuwingen, afhankelijk van de services die u bewaakt en de bewakingsgegevens die u verzamelt. Verschillende typen waarschuwingen hebben verschillende voordelen en nadelen. Zie Het juiste waarschuwingstype voor bewaking kiezen voor meer informatie.
In de volgende lijst worden de typen Azure Monitor-waarschuwingen beschreven die u kunt maken:
- Metrische waarschuwingen evalueren met regelmatige tussenpozen resourcegegevens. Metrische gegevens kunnen metrische platformgegevens, aangepaste metrische gegevens, logboeken van Azure Monitor zijn geconverteerd naar metrische gegevens of metrische Gegevens van Application Insights. Metrische waarschuwingen kunnen ook meerdere voorwaarden en dynamische drempelwaarden toepassen.
- Met logboekwaarschuwingen kunnen gebruikers een Log Analytics-query gebruiken om resourcelogboeken met een vooraf gedefinieerde frequentie te evalueren.
- Waarschuwingen voor activiteitenlogboeken worden geactiveerd wanneer een nieuwe gebeurtenis van het activiteitenlogboek plaatsvindt die overeenkomt met gedefinieerde voorwaarden. Resource Health-waarschuwingen en Service Health-waarschuwingen zijn waarschuwingen voor activiteitenlogboeken die rapporteren over uw service en resourcestatus.
Sommige Azure-services ondersteunen ook waarschuwingen voor slimme detectie, Prometheus-waarschuwingen of aanbevolen waarschuwingsregels.
Voor sommige services kunt u op schaal bewaken door dezelfde waarschuwingsregel voor metrische gegevens toe te passen op meerdere resources van hetzelfde type dat in dezelfde Azure-regio aanwezig is. Afzonderlijke meldingen worden verzonden voor elke bewaakte resource. Zie Meerdere resources bewaken met één waarschuwingsregel voor ondersteunde Azure-services en -clouds.
Notitie
Als u een toepassing maakt of uitvoert die op uw service wordt uitgevoerd, biedt Azure Monitor Application Insights mogelijk meer typen waarschuwingen.
Waarschuwingsregels voor Key Vault
De volgende lijst bevat enkele voorgestelde waarschuwingsregels voor Key Vault. Deze waarschuwingen zijn slechts voorbeelden. U kunt waarschuwingen instellen voor elke vermelding van metrische gegevens, logboekvermeldingen of activiteitenlogboeken die worden vermeld in de azure Key Vault-bewakingsgegevensverwijzing.
- Beschikbaarheid van Key Vault daalt onder de 100% (statische drempelwaarde)
- Key Vault-latentie is groter dan 1000 ms (statische drempelwaarde)
- Algehele verzadiging van kluis is groter dan 75% (statische drempelwaarde)
- Algehele verzadiging van kluis overschrijdt het gemiddelde (dynamische drempelwaarde)
- Totaal aantal foutcodes hoger dan gemiddeld (dynamische drempelwaarde)
Zie Waarschuwingen voor Azure Key Vault voor meer informatie.
Advisor-aanbevelingen
Voor sommige services, als er kritieke omstandigheden of aanstaande wijzigingen optreden tijdens resourcebewerkingen, wordt een waarschuwing weergegeven op de pagina Serviceoverzicht in de portal. Meer informatie en aanbevolen oplossingen voor de waarschuwing vindt u in Advisor-aanbevelingen onder Bewaking in het linkermenu. Tijdens normale bewerkingen worden er geen aanbevelingen van advisor weergegeven.
Zie het overzicht van Azure Advisor voor meer informatie over Azure Advisor.
Gerelateerde inhoud
- Zie azure Key Vault-bewakingsgegevens voor een verwijzing naar de metrische gegevens, logboeken en andere belangrijke waarden die zijn gemaakt voor Key Vault.
- Zie Azure-resources bewaken met Azure Monitor voor algemene informatie over het bewaken van Azure-resources.