Konfigurowanie alertów usługi Azure Key Vault

Po rozpoczęciu korzystania z usługi Azure Key Vault do przechowywania wpisów tajnych produkcyjnych należy monitorować kondycję magazynu kluczy, aby upewnić się, że usługa działa zgodnie z oczekiwaniami.

Gdy zaczniesz skalować usługę, liczba żądań wysyłanych do magazynu kluczy wzrośnie. Ten wzrost może zwiększyć opóźnienie żądań. W skrajnych przypadkach może to spowodować ograniczenie żądań i wpłynąć na wydajność usługi. Musisz również wiedzieć, czy magazyn kluczy wysyła nietypową liczbę kodów błędów, dzięki czemu możesz szybko obsłużyć wszelkie problemy z zasadami dostępu lub konfiguracją zapory.

W tym artykule pokazano, jak skonfigurować alerty z określonymi progami, aby umożliwić zespołowi natychmiastowe podjęcie działań, jeśli magazyn kluczy jest w złej kondycji. Możesz skonfigurować alerty, które wysyłają wiadomość e-mail (najlepiej do listy dystrybucyjnej zespołu), uruchamiają powiadomienie usługi Azure Event Grid, dzwonią lub wysyłają wiadomość SMS na numer telefonu.

Można wybrać między tymi typami alertów:

• Alert statyczny oparty na stałej wartości
• Alert dynamiczny, który powiadomi Cię, jeśli monitorowana metryka przekroczy średni limit magazynu kluczy określoną liczbę razy w zdefiniowanym zakresie czasu

Ważne

Rozpoczęcie wysyłania powiadomień może potrwać do 10 minut.

Ten artykuł koncentruje się na alertach dotyczących usługi Key Vault. Aby uzyskać informacje o szczegółowych informacjach usługi Key Vault, które łączą dzienniki i metryki w celu zapewnienia rozwiązania do monitorowania globalnego, zobacz Monitorowanie magazynu kluczy za pomocą szczegółowych informacji usługi Key Vault.

Konfigurowanie grupy akcji

Grupa akcji to konfigurowalna lista powiadomień i właściwości. Pierwszym krokiem konfigurowania alertów jest utworzenie grupy akcji i wybranie typu alertu:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj pozycję Alerty w polu wyszukiwania.

3. Wybierz pozycję Zarządzaj akcjami.

   

4. Wybierz pozycję + Dodaj grupę akcji.

   

5. Wybierz wartość Typ akcji dla grupy akcji. W tym przykładzie utworzymy wiadomość e-mail i alert SMS. Wybierz pozycję E-mail/SMS/Push/Voice.

   

6. W oknie dialogowym wprowadź szczegóły poczty e-mail i wiadomości SMS, a następnie wybierz przycisk OK.

   

Konfigurowanie progów alertów

Następnie utwórz regułę i skonfiguruj progi, które będą wyzwalać alert:

1. Wybierz zasób magazynu kluczy w witrynie Azure Portal, a następnie wybierz pozycję Alerty w obszarze Monitorowanie.

   

2. Wybierz przycisk Nowa reguła alertu.

   

3. Wybierz zakres reguły alertu. Możesz wybrać jeden magazyn lub wiele magazynów.

   Ważne

   Po wybraniu wielu magazynów dla zakresu alertów wszystkie wybrane magazyny muszą znajdować się w tym samym regionie. Musisz skonfigurować oddzielne reguły alertów dla magazynów w różnych regionach.

   

4. Wybierz progi, które definiują logikę alertów, a następnie wybierz pozycję Dodaj. Zespół usługi Key Vault zaleca skonfigurowanie następujących progów dla większości aplikacji, ale można je dostosować w zależności od potrzeb aplikacji:

   • Dostępność usługi Key Vault spada poniżej 100 procent (próg statyczny)

   Ważne

   Ten alert obecnie niepoprawnie zawiera długotrwałe operacje i zgłasza je jako niedostępną usługę. Dzienniki usługi Key Vault można monitorować, aby sprawdzić, czy operacje kończą się niepowodzeniem z powodu niedostępności usługi

   • Opóźnienie usługi Key Vault jest większe niż 1000 ms (próg statyczny)

   Uwaga

   Celem progu 1000 ms jest powiadomienie, że usługa Key Vault w tym regionie ma obciążenie wyższe niż średnia. Umowa SLA dotycząca operacji usługi Key Vault jest kilka razy wyższa, zobacz Umowę dotyczącą poziomu usług online dla usług online dla bieżącej umowy SLA. Aby otrzymywać alerty, gdy operacje usługi Key Vault są poza umową SLA, użyj progów z dokumentów UMOWY SLA.

   • Ogólne nasycenie magazynu jest większe niż 75 procent (próg statyczny)
   • Ogólne nasycenie magazynu przekracza średnią (próg dynamiczny)
   • Łączne kody błędów są wyższe niż średnie (próg dynamiczny)

   

Przykład: Konfigurowanie statycznego progu alertu pod kątem opóźnienia

1. Wybierz pozycję Ogólne opóźnienie interfejsu API usługi jako nazwę sygnału.

   

2. Użyj następujących parametrów konfiguracji:

   • Ustaw wartość Próg na Statyczny.
   • Ustaw wartość Operator na Większe niż.
   • Ustaw wartość Typ agregacji na Wartość Średnia.
   • Ustaw wartość progu na 1000.
   • Ustaw stopień szczegółowości agregacji (okres) na 5 minut.
   • Ustaw częstotliwość oceny na co 1 minutę.

   

3. Wybierz pozycję Gotowe.

Przykład: Konfigurowanie dynamicznego progu alertu pod kątem nasycenia magazynu

Gdy używasz alertu dynamicznego, zobaczysz dane historyczne wybranego magazynu kluczy. Niebieski obszar reprezentuje średnie użycie magazynu kluczy. Czerwony obszar pokazuje skoki, które wyzwoliłyby alert, jeśli zostały spełnione inne kryteria w konfiguracji alertu. Czerwone kropki pokazują wystąpienia naruszeń, w których kryteria alertu zostały spełnione w zagregowanym przedziale czasu.

Alert można ustawić tak, aby został wyzwolony po określonej liczbie naruszeń w określonym czasie. Jeśli nie chcesz dołączać poprzednich danych, istnieje opcja wykluczenia jej w ustawieniach zaawansowanych.

1. Użyj następujących parametrów konfiguracji:

   • Ustaw wartość Nazwa wymiaru na Typ transakcji i Wartości wymiarów na vaultoperation.
   • Ustaw wartość Próg na Wartość Dynamiczna.
   • Ustaw wartość Operator na Większe niż.
   • Ustaw wartość Typ agregacji na Wartość Średnia.
   • Ustaw wartość Czułość progowa na średni.
   • Ustaw stopień szczegółowości agregacji (okres) na 5 minut.
   • Ustaw częstotliwość oceny na co 5 minut.
   • Skonfiguruj ustawienia zaawansowane (opcjonalnie).

   

2. Wybierz pozycję Gotowe.

3. Wybierz pozycję Dodaj , aby dodać skonfigurowaną grupę akcji.

   

4. W szczegółach alertu włącz alert i przypisz ważność.

   

5. Utwórz alert.

Przykładowy alert e-mail

Jeśli wykonano wszystkie powyższe kroki, otrzymasz alerty e-mail, gdy magazyn kluczy spełnia skonfigurowane kryteria alertu. Poniższy alert e-mail jest przykładem.

Przykład: Alert zapytania dziennika dla certyfikatów bliskiego wygaśnięcia

Możesz ustawić alert, aby powiadomić Cię o certyfikatach, które wkrótce wygasną.

Uwaga

Zdarzenia bliskiego wygaśnięcia certyfikatów są rejestrowane przez 30 dni przed wygaśnięciem.

1. Przejdź do obszaru Dzienniki i wklej poniższe zapytanie w oknie zapytania

   AzureDiagnostics
   | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
   | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
   | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
   | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
   
   

2. Wybierz pozycję Nowa reguła alertu

   

3. Na karcie Warunek użyj następującej konfiguracji:

   • W obszarze Miara ustaw stopień szczegółowości agregacji na 1 dzień
   • W obszarze Podział według wymiarów ustaw kolumnę Identyfikator zasobu na Wartość ResourceId.
   • Ustaw CertName i DayTillExpire jako wymiary.
   • W obszarze Logika alertu ustaw wartość Próg na wartość 0 i Częstotliwość oceny na 1 dzień.

   

4. Na karcie Akcje skonfiguruj alert w celu wysłania wiadomości e-mail

   1. Wybieranie pozycji Utwórz grupę akcji

      

   2. Konfigurowanie tworzenia grupy akcji

      

   3. Konfigurowanie powiadomień w celu wysłania wiadomości e-mail

      

   4. Konfigurowanie szczegółów wyzwalania alertu ostrzegawczego

      

   5. Wybierz pozycję Przejrzyj i utwórz

Następne kroki

Użyj narzędzi skonfigurowanych w tym artykule, aby aktywnie monitorować kondycję magazynu kluczy:

• Monitorowanie usługi Key Vault
• Dokumentacja danych usługi Key Vault monitorowania
• Tworzenie alertu zapytania dziennika dla zasobu platformy Azure