Udostępnij za pośrednictwem


Konfigurowanie alertów usługi Azure Key Vault

Po rozpoczęciu korzystania z usługi Azure Key Vault do przechowywania wpisów tajnych produkcyjnych należy monitorować kondycję magazynu kluczy, aby upewnić się, że usługa działa zgodnie z oczekiwaniami.

Gdy zaczniesz skalować usługę, liczba żądań wysyłanych do magazynu kluczy wzrośnie. Ten wzrost może zwiększyć opóźnienie żądań. W skrajnych przypadkach może to spowodować ograniczenie żądań i wpłynąć na wydajność usługi. Musisz również wiedzieć, czy magazyn kluczy wysyła nietypową liczbę kodów błędów, dzięki czemu możesz szybko obsłużyć wszelkie problemy z zasadami dostępu lub konfiguracją zapory.

W tym artykule pokazano, jak skonfigurować alerty z określonymi progami, aby umożliwić zespołowi natychmiastowe podjęcie działań, jeśli magazyn kluczy jest w złej kondycji. Możesz skonfigurować alerty, które wysyłają wiadomość e-mail (najlepiej do listy dystrybucyjnej zespołu), uruchamiają powiadomienie usługi Azure Event Grid, dzwonią lub wysyłają wiadomość SMS na numer telefonu.

Można wybrać między tymi typami alertów:

  • Alert statyczny oparty na stałej wartości
  • Alert dynamiczny, który powiadomi Cię, jeśli monitorowana metryka przekroczy średni limit magazynu kluczy określoną liczbę razy w zdefiniowanym zakresie czasu

Ważne

Rozpoczęcie wysyłania powiadomień może potrwać do 10 minut.

Ten artykuł koncentruje się na alertach dotyczących usługi Key Vault. Aby uzyskać informacje o szczegółowych informacjach usługi Key Vault, które łączą dzienniki i metryki w celu zapewnienia rozwiązania do monitorowania globalnego, zobacz Monitorowanie magazynu kluczy za pomocą szczegółowych informacji usługi Key Vault.

Konfigurowanie grupy akcji

Grupa akcji to konfigurowalna lista powiadomień i właściwości. Pierwszym krokiem konfigurowania alertów jest utworzenie grupy akcji i wybranie typu alertu:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj pozycję Alerty w polu wyszukiwania.

  3. Wybierz pozycję Zarządzaj akcjami.

    Zrzut ekranu przedstawiający przycisk Zarządzaj akcjami.

  4. Wybierz pozycję + Dodaj grupę akcji.

    Zrzut ekranu przedstawiający przycisk dodawania grupy akcji.

  5. Wybierz wartość Typ akcji dla grupy akcji. W tym przykładzie utworzymy wiadomość e-mail i alert SMS. Wybierz pozycję E-mail/SMS/Push/Voice.

    Zrzut ekranu przedstawiający wybrane opcje dodawania grupy akcji.

  6. W oknie dialogowym wprowadź szczegóły poczty e-mail i wiadomości SMS, a następnie wybierz przycisk OK.

    Zrzut ekranu przedstawiający opcje dodawania wiadomości e-mail i alertu wiadomości S M S.

Konfigurowanie progów alertów

Następnie utwórz regułę i skonfiguruj progi, które będą wyzwalać alert:

  1. Wybierz zasób magazynu kluczy w witrynie Azure Portal, a następnie wybierz pozycję Alerty w obszarze Monitorowanie.

    Zrzut ekranu przedstawiający opcję menu Alerty w sekcji Monitorowanie.

  2. Wybierz przycisk Nowa reguła alertu.

    Zrzut ekranu przedstawiający przycisk dodawania nowej reguły alertu.

  3. Wybierz zakres reguły alertu. Możesz wybrać jeden magazyn lub wiele magazynów.

    Ważne

    Po wybraniu wielu magazynów dla zakresu alertów wszystkie wybrane magazyny muszą znajdować się w tym samym regionie. Musisz skonfigurować oddzielne reguły alertów dla magazynów w różnych regionach.

    Zrzut ekranu przedstawiający sposób wybierania magazynu.

  4. Wybierz progi, które definiują logikę alertów, a następnie wybierz pozycję Dodaj. Zespół usługi Key Vault zaleca skonfigurowanie następujących progów dla większości aplikacji, ale można je dostosować w zależności od potrzeb aplikacji:

    • Dostępność usługi Key Vault spada poniżej 100 procent (próg statyczny)

    Ważne

    Ten alert obecnie niepoprawnie zawiera długotrwałe operacje i zgłasza je jako niedostępną usługę. Dzienniki usługi Key Vault można monitorować, aby sprawdzić, czy operacje kończą się niepowodzeniem z powodu niedostępności usługi

    • Opóźnienie usługi Key Vault jest większe niż 1000 ms (próg statyczny)

    Uwaga

    Celem progu 1000 ms jest powiadomienie, że usługa Key Vault w tym regionie ma obciążenie wyższe niż średnia. Umowa SLA dotycząca operacji usługi Key Vault jest kilka razy wyższa, zobacz Umowę dotyczącą poziomu usług online dla usług online dla bieżącej umowy SLA. Aby otrzymywać alerty, gdy operacje usługi Key Vault są poza umową SLA, użyj progów z dokumentów UMOWY SLA.

    • Ogólne nasycenie magazynu jest większe niż 75 procent (próg statyczny)
    • Ogólne nasycenie magazynu przekracza średnią (próg dynamiczny)
    • Łączne kody błędów są wyższe niż średnie (próg dynamiczny)

    Zrzut ekranu przedstawiający sposób wybierania warunków alertów.

Przykład: Konfigurowanie statycznego progu alertu pod kątem opóźnienia

  1. Wybierz pozycję Ogólne opóźnienie interfejsu API usługi jako nazwę sygnału.

    Zrzut ekranu przedstawiający wybieranie nazwy sygnału.

  2. Użyj następujących parametrów konfiguracji:

    • Ustaw wartość Próg na Statyczny.
    • Ustaw wartość Operator na Większe niż.
    • Ustaw wartość Typ agregacji na Wartość Średnia.
    • Ustaw wartość progu na 1000.
    • Ustaw stopień szczegółowości agregacji (okres) na 5 minut.
    • Ustaw częstotliwość oceny na co 1 minutę.

    Zrzut ekranu przedstawiający skonfigurowaną logikę dla progu alertu statycznego.

  3. Wybierz pozycję Gotowe.

Przykład: Konfigurowanie dynamicznego progu alertu pod kątem nasycenia magazynu

Gdy używasz alertu dynamicznego, zobaczysz dane historyczne wybranego magazynu kluczy. Niebieski obszar reprezentuje średnie użycie magazynu kluczy. Czerwony obszar pokazuje skoki, które wyzwoliłyby alert, jeśli zostały spełnione inne kryteria w konfiguracji alertu. Czerwone kropki pokazują wystąpienia naruszeń, w których kryteria alertu zostały spełnione w zagregowanym przedziale czasu.

Zrzut ekranu przedstawiający wykres nasycenia ogólnego magazynu.

Alert można ustawić tak, aby został wyzwolony po określonej liczbie naruszeń w określonym czasie. Jeśli nie chcesz dołączać poprzednich danych, istnieje opcja wykluczenia jej w ustawieniach zaawansowanych.

  1. Użyj następujących parametrów konfiguracji:

    • Ustaw wartość Nazwa wymiaru na Typ transakcji i Wartości wymiarów na vaultoperation.
    • Ustaw wartość Próg na Wartość Dynamiczna.
    • Ustaw wartość Operator na Większe niż.
    • Ustaw wartość Typ agregacji na Wartość Średnia.
    • Ustaw wartość Czułość progowa na średni.
    • Ustaw stopień szczegółowości agregacji (okres) na 5 minut.
    • Ustaw częstotliwość oceny na co 5 minut.
    • Skonfiguruj ustawienia zaawansowane (opcjonalnie).

    Zrzut ekranu przedstawiający skonfigurowaną logikę dla progu alertu dynamicznego.

  2. Wybierz pozycję Gotowe.

  3. Wybierz pozycję Dodaj , aby dodać skonfigurowaną grupę akcji.

    Zrzut ekranu przedstawiający przycisk dodawania grupy akcji.

  4. W szczegółach alertu włącz alert i przypisz ważność.

    Zrzut ekranu pokazujący, gdzie włączyć alert i przypisać ważność.

  5. Utwórz alert.

Przykładowy alert e-mail

Jeśli wykonano wszystkie powyższe kroki, otrzymasz alerty e-mail, gdy magazyn kluczy spełnia skonfigurowane kryteria alertu. Poniższy alert e-mail jest przykładem.

Zrzut ekranu przedstawiający informacje potrzebne do skonfigurowania alertu e-mail.

Przykład: Alert zapytania dziennika dla certyfikatów bliskiego wygaśnięcia

Możesz ustawić alert, aby powiadomić Cię o certyfikatach, które wkrótce wygasną.

Uwaga

Zdarzenia bliskiego wygaśnięcia certyfikatów są rejestrowane przez 30 dni przed wygaśnięciem.

  1. Przejdź do obszaru Dzienniki i wklej poniższe zapytanie w oknie zapytania

    AzureDiagnostics
    | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
    | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
    | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
    | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
    
    
  2. Wybierz pozycję Nowa reguła alertu

    Zrzut ekranu przedstawiający okno zapytania z wybraną nową regułą alertu.

  3. Na karcie Warunek użyj następującej konfiguracji:

    • W obszarze Miara ustaw stopień szczegółowości agregacji na 1 dzień
    • W obszarze Podział według wymiarów ustaw kolumnę Identyfikator zasobu na Wartość ResourceId.
    • Ustaw CertName i DayTillExpire jako wymiary.
    • W obszarze Logika alertu ustaw wartość Próg na wartość 0 i Częstotliwość oceny na 1 dzień.

    Zrzut ekranu przedstawiający konfigurację warunku alertu.

  4. Na karcie Akcje skonfiguruj alert w celu wysłania wiadomości e-mail

    1. Wybieranie pozycji Utwórz grupę akcji

      Zrzut ekranu przedstawiający sposób tworzenia grupy akcji.

    2. Konfigurowanie tworzenia grupy akcji

      Zrzut ekranu przedstawiający sposób konfigurowania grupy akcji.

    3. Konfigurowanie powiadomień w celu wysłania wiadomości e-mail

      Zrzut ekranu przedstawiający sposób konfigurowania powiadomień.

    4. Konfigurowanie szczegółów wyzwalania alertu ostrzegawczego

      Zrzut ekranu przedstawiający sposób konfigurowania szczegółów powiadomień.

    5. Wybierz pozycję Przejrzyj i utwórz

Następne kroki

Użyj narzędzi skonfigurowanych w tym artykule, aby aktywnie monitorować kondycję magazynu kluczy: