Monitorowanie usługi Azure Key Vault

Gdy masz aplikacje o krytycznym znaczeniu i procesy biznesowe, które opierają się na zasobach platformy Azure, chcesz monitorować te zasoby pod kątem ich dostępności, wydajności i działania. W przypadku usługi Azure Key Vault ważne jest, aby monitorować usługę podczas skalowania, ponieważ liczba żądań wysyłanych do magazynu kluczy wzrośnie. Może to spowodować zwiększenie opóźnienia żądań i w skrajnych przypadkach spowodowanie ograniczenia żądań, co wpłynie na wydajność usługi.

W tym artykule opisano dane monitorowania generowane przez usługę Key Vault. Usługa Key Vault używa usługi Azure Monitor. Jeśli nie znasz funkcji usługi Azure Monitor wspólnych dla wszystkich usług platformy Azure, które z niej korzystają, zapoznaj się z tematem Monitorowanie zasobów platformy Azure za pomocą usługi Azure Monitor.

Strona przeglądu monitorowania w witrynie Azure Portal

Strona Przegląd w witrynie Azure Portal dla każdego magazynu kluczy zawiera następujące metryki na karcie "Monitorowanie":

  • Żądania ogółem
  • Średnie opóźnienie
  • Współczynnik powodzenia

Możesz wybrać pozycję "dodatkowe metryki" (lub kartę "Metryki" na pasku bocznym po lewej stronie w obszarze "Monitorowanie"), aby wyświetlić również te metryki:

  • Ogólne opóźnienie interfejsu API usługi
  • Ogólna dostępność magazynu
  • Ogólne nasycenie magazynu
  • Łączna liczba trafień interfejsu API usługi
  • Łączna liczba wyników interfejsu API usługi

Szczegółowe informacje o usłudze Key Vault

Niektóre usługi na platformie Azure mają specjalnie utworzony wstępnie wbudowany pulpit nawigacyjny monitorowania w witrynie Azure Portal, który zapewnia punkt wyjścia do monitorowania usługi. Te specjalne pulpity nawigacyjne są nazywane "szczegółowymi informacjami".

Szczegółowe informacje usługi Key Vault zapewniają kompleksowe monitorowanie magazynów kluczy, zapewniając ujednolicony widok żądań usługi Key Vault, wydajności, awarii i opóźnień. Aby uzyskać szczegółowe informacje, zobacz Monitorowanie usługi key vault za pomocą szczegółowych informacji usługi Key Vault.

Dane monitorowania

Usługa Key Vault zbiera te same rodzaje danych monitorowania co inne zasoby platformy Azure opisane w temacie Monitorowanie danych z zasobów platformy Azure.

Aby uzyskać szczegółowe informacje na temat metryk i metryk dzienników utworzonych przez usługę Key Vault, zobacz Monitorowanie dokumentacji danych usługi Key Vault.

Zbieranie i routing

Metryki platformy i dziennik aktywności są zbierane i przechowywane automatycznie, ale mogą być kierowane do innych lokalizacji przy użyciu ustawienia diagnostycznego.

Dzienniki zasobów nie są zbierane ani przechowywane, dopóki nie utworzysz ustawienia diagnostycznego i nie przekierujesz ich do co najmniej jednej lokalizacji.

Aby poznać szczegółowy proces tworzenia ustawienia diagnostycznego przy użyciu witryny Azure Portal, interfejsu wiersza polecenia lub programu PowerShell, zobacz temat Tworzenie ustawienia diagnostycznego w celu zbierania dzienników i metryk platformy na platformie Azure. Podczas tworzenia ustawienia diagnostycznego należy określić kategorie dzienników do zebrania. Kategorie usługi Key Vault są wymienione w dokumentacji danych monitorowania usługi Key Vault.

Aby utworzyć ustawienie diagnostyczne dla magazynu kluczy, zobacz Włączanie rejestrowania usługi Key Vault. Metryki i dzienniki, które można zebrać, zostały omówione w poniższych sekcjach.

Analizowanie metryk

Metryki dla usługi Key Vault można analizować za pomocą metryk z innych usług platformy Azure przy użyciu Eksploratora metryk, otwierając pozycję Metryki z menu usługi Azure Monitor. Aby uzyskać szczegółowe informacje na temat korzystania z tego narzędzia, zobacz Analizowanie metryk za pomocą Eksploratora metryk usługi Azure Monitor.

Aby uzyskać listę metryk platformy zebranych dla usługi Key Vault, zobacz Monitorowanie metryk odwołań do danych usługi Key Vault

Analizowanie dzienników

Dane w dziennikach usługi Azure Monitor są przechowywane w tabelach, w których każda tabela ma własny zestaw unikatowych właściwości.

Wszystkie dzienniki zasobów w usłudze Azure Monitor mają te same pola, a następnie pola specyficzne dla usługi. Typowy schemat został opisany w schemacie dziennika zasobów usługi Azure Monitor

Dziennik aktywności to typ dziennika platformy na platformie Azure, który zapewnia wgląd w zdarzenia na poziomie subskrypcji. Można go wyświetlać niezależnie lub kierować do dzienników usługi Azure Monitor, gdzie można wykonywać znacznie bardziej złożone zapytania przy użyciu usługi Log Analytics.

Aby uzyskać listę typów dzienników zasobów zebranych dla usługi Key Vault, zobacz Monitorowanie dokumentacji danych usługi Key Vault

Aby uzyskać listę tabel używanych przez dzienniki usługi Azure Monitor i wysyłać zapytania do usługi Log Analytics, zobacz Monitorowanie dokumentacji danych usługi Key Vault

Przykładowe zapytania Kusto

Ważne

Po wybraniu pozycji Dzienniki z menu usługi Key Vault usługa Log Analytics zostanie otwarta z zakresem zapytania ustawionym na bieżący magazyn kluczy. Oznacza to, że zapytania dziennika będą zawierać tylko dane z tego zasobu. Jeśli chcesz uruchomić zapytanie zawierające dane z innych magazynów kluczy lub dane z innych usług platformy Azure, wybierz pozycję Dzienniki z menu usługi Azure Monitor . Aby uzyskać szczegółowe informacje, zobacz Zakres zapytań dzienników i zakres czasu w usłudze Azure Monitor Log Analytics .

Poniżej przedstawiono kilka zapytań, które można wprowadzić na pasku wyszukiwania dzienników, aby ułatwić monitorowanie zasobów usługi Key Vault. Te zapytania działają z nowym językiem.

  • Czy istnieją klienci korzystający ze starej wersji protokołu TLS (<1.2)?

    AzureDiagnostics
    | where TimeGenerated > ago(90d) 
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0
    | project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s)
    | sort by TimeGenerated desc
    
  • Czy istnieją jakieś powolne żądania?

    // List of KeyVault requests that took longer than 1sec. 
    // To create an alert for this query, click '+ New alert rule'
    let threshold=1000; // let operator defines a constant that can be further used in the query
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where DurationMs > threshold
    | summarize count() by OperationName, _ResourceId
    
  • Czy występują jakieś błędy?

    // Count of failed KeyVault requests by status code. 
    // To create an alert for this query, click '+ New alert rule'
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
    | summarize count() by requestUri_s, ResultSignature, _ResourceId
    // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
    // httpStatusCode_d contains HTTP status code returned
    
  • Błędy deserializacji danych wejściowych

    // Shows errors caused due to malformed events that could not be deserialized by the job. 
    // To create an alert for this query, click '+ New alert rule'
    
    AzureDiagnostics
    | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
    | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
    
  • Jak aktywny jest ten program KeyVault?

    // Line chart showing trend of KeyVault requests volume, per operation over time. 
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
    | render timechart
    
    
  • KtoTo wywołuje tę usługę KeyVault?

    // List of callers identified by their IP address with their request count.  
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT"
    | summarize count() by CallerIPAddress
    
  • Jak szybko jest to usługa KeyVault obsługująca żądania?

    // Line chart showing trend of request duration over time using different aggregations. 
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
    | render timechart
    
  • Jakie zmiany wystąpiły w zeszłym miesiącu?

    // Lists all update and patch requests from the last 30 days. 
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where OperationName == "VaultPut" or OperationName == "VaultPatch"
    | sort by TimeGenerated desc
    

Alerty

Alerty usługi Azure Monitor proaktywnie powiadamiają o znalezieniu ważnych warunków w danych monitorowania. Umożliwiają one identyfikowanie i rozwiązywanie problemów w systemie z preemptive. Alerty dotyczące metryk, dzienników i dziennika aktywności można ustawić.

Jeśli tworzysz lub uruchamiasz aplikację działającą w usłudze Azure Key Vault, usługa Azure Monitor Application Szczegółowe informacje może oferować dodatkowe typy alertów.

Poniżej przedstawiono niektóre typowe i zalecane reguły alertów dla usługi Azure Key Vault —

  • Dostępność usługi Key Vault spada poniżej 100% (próg statyczny)
  • Opóźnienie usługi Key Vault jest większe niż 1000 ms (próg statyczny)
  • Nasycenie ogólnego magazynu jest większe niż 75% (próg statyczny)
  • Ogólne nasycenie magazynu przekracza średnią (próg dynamiczny)
  • Łączne kody błędów wyższe niż średnia (próg dynamiczny)

Aby uzyskać więcej informacji, zobacz Alerty dla usługi Azure Key Vault .

Następne kroki