Compartilhar via


Configurar alertas do Azure Key Vault

Depois de começar a usar o Azure Key Vault para armazenar seus segredos de produção, é importante monitorar a integridade do cofre de chaves para garantir que seu serviço funcione conforme o planejado.

Conforme você começar a escalar o serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Esse aumento tem potencial para aumentar a latência de suas solicitações. Em casos extremos, isso pode fazer com que suas solicitações sejam limitadas e afetem o desempenho do seu serviço. Você também precisa saber se o seu cofre de chaves está enviando um número incomum de códigos de erro, para que possa lidar rapidamente com qualquer problema com uma política de acesso ou configuração de firewall.

Este artigo mostrará como configurar alertas em limites especificados para que você possa alertar sua equipe para agir imediatamente se o seu cofre de chaves estiver em um estado não íntegro. Você pode configurar alertas que enviam um email (de preferência para uma lista de distribuição de equipe), disparam uma notificação da Grade de Eventos do Azure ou ligam ou enviam uma mensagem de texto para um número de telefone.

Você pode escolher entre estes tipos de alertas:

  • Um alerta estático com base em um valor fixo
  • Um alerta dinâmico que avisará se uma métrica monitorada exceder o limite médio de seu cofre de chaves de um determinado número de vezes dentro de um intervalo de tempo definido

Importante

Pode levar até 10 minutos para que os alertas recentemente configurados comecem a enviar notificações.

Este artigo se concentra em alertas para o Key Vault. Para obter informações sobre insights do Key Vault, que combina logs e métricas para oferecer uma solução de monitoramento global, confira Monitoramento do seu cofre de chaves com insights do Key Vault.

Configurar um grupo de ação

Um grupo de ações é uma lista configurável de notificações e de propriedades. A primeira etapa na configuração de alertas é criar um grupo de ação e escolher um tipo de alerta:

  1. Entre no portal do Azure.

  2. Procure por Alertasna caixa de pesquisa.

  3. SelecioneGerenciar ações.

    Captura de tela que realça o botão Gerenciar Ações.

  4. Escolha + Adicionar Grupo de Ação.

    Captura de tela que realça o botão para adicionar um grupo de ações.

  5. Escolha o valor Tipo de Ação para o grupo de ação. Neste exemplo, criaremos um alerta de email e SMS. Escolha Email/SMS/Push/Serviço de Voz.

    Captura de tela que destaca as seleções para adicionar um grupo de ações.

  6. Na caixa de diálogo, insira os detalhes de email e SMS e, em seguida, escolha OK.

    Captura de tela que mostra seleções para adicionar um alerta de mensagem de email e SMS.

Configurar os limites de alerta

Em seguida, crie uma regra e configure os limites que dispararão um alerta:

  1. Escolha o recurso do cofre de chaves no portal do Microsoft Azure e escolha Alertas em Monitoramento.

    Captura de tela que mostra a opção do menu Alertas na seção Monitoramento.

  2. Selecione Nova regra de alerta.

    Captura de tela que mostra o botão para adicionar uma nova regra de alerta.

  3. Escolha o escopo da sua regra de alerta. Você pode selecionar um único cofre ou diversos cofres.

    Importante

    Quando você estiver selecionando diversos cofres para o escopo de seus alertas, todos os cofres selecionados deverão estar na mesma região. Você terá de configurar as regras de alerta separadas para os cofres em regiões diferentes.

    Captura de tela que mostra como você pode escolher um cofre.

  4. Escolha os limites que definem a lógica para seus alertas e, em seguida, escolha Adicionar. A equipe do Key Vault recomenda configurar os seguintes limites para a maioria dos aplicativos, mas você pode ajustá-los com base nas necessidades do aplicativo:

    • A disponibilidade do Key Vault cai abaixo de 100% (limite estático)

    Importante

    Esse alerta atualmente inclui incorretamente operações de execução longa e as relata como o serviço não disponível. Você pode monitorar os logs do Key Vault para ver se as operações estão falhando devido ao serviço estar indisponível

    • A latência do Key Vault é maior que 1.000 ms (limite estático)

    Observação

    A intenção do limite de 1.000 ms é notificar que o serviço Key Vault nessa região tem uma carga de trabalho maior que a média. Nosso SLA para operações do Key Vault é muito maior. Consulte o Contrato de Nível de Serviço para Serviços Online para ler o SLA atual. Para alertar quando as operações do Key Vault estiverem fora do SLA, use os limites dos documentos SLA.

    • A saturação geral do cofre é maior que 75% (limite estático)
    • A saturação geral do cofre excede a média (limite dinâmico)
    • O total dos códigos de erro é maior que a média (limite dinâmico)

    Captura de tela que mostra o local no qual você seleciona as condições de alertas.

Exemplo: configurar um limite de alerta estático para a latência

  1. Escolha a latência geral da API de serviço como o nome do sinal.

    Captura de tela que mostra a seleção de um nome de sinal.

  2. Use os seguintes parâmetros de configuração:

    • Defina o Limite para Estático.
    • Defina o Operador como Maior que.
    • Defina o Tipo de agregação para Média.
    • Defina o Valor de limite para 1.000.
    • Defina a Granularidade de agregação (período) para 5 minutos.
    • Defina a Frequência de avaliação para A cada 1 minuto.

    Captura de tela que mostra a lógica configurada para um limite de alerta estático.

  3. Selecione Concluído.

Exemplo: configurar um limite de alerta dinâmico para a saturação do cofre

Ao usar um alerta dinâmico, você poderá ver os dados históricos do cofre de chaves que você selecionou. A região azul representa o uso médio do cofre de chaves. A área vermelha mostra os picos que dispararam um alerta fornecendo outros critérios na configuração do alerta sejam atendidos. Os pontos vermelhos mostram as instâncias de violações em que os critérios para o alerta foram atendidos durante a janela de tempo agregada.

Captura de tela que mostra um grafo da saturação do cofre geral.

Você pode definir um alerta para disparar após um determinado número de violações dentro de um tempo definido. Se você não quiser incluir os dados passados, há uma opção para exclui-los abaixo nas configurações avançadas.

  1. Use os seguintes parâmetros de configuração:

    • Defina Nome da Dimensão como Tipo de Transação e Valores da Dimensão como vaultoperation.
    • Defina o Limite para Dinâmico.
    • Defina o Operador como Maior que.
    • Defina o Tipo de agregação para Média.
    • Definir a Sensibilidade do limite como Média.
    • Defina a Granularidade de agregação (período) para 5 minutos.
    • Defina a Frequência de avaliação para A cada 5 minutos.
    • Defina Configurações avançadas (opcional).

    Captura de tela que mostra a lógica configurada para um limite de alerta dinâmico.

  2. Selecione Concluído.

  3. Escolha Adicionar para incluir o grupo de ação que você configurou.

    Captura de tela que mostra o botão para adicionar um grupo de ações.

  4. Nos detalhes do alerta, habilite o alerta e atribua uma severidade.

    Captura de tela que exibe onde habilitar o alerta e atribuir uma severidade.

  5. Crie o alerta.

Alerta de e-mail de exemplo

Se você seguiu todas as etapas anteriores, receberá alertas por email quando o seu cofre de chaves atender aos critérios de alerta que você configurou. O alerta de email a seguir é um exemplo.

Captura de tela que realça as informações necessárias para configurar um alerta de email.

Exemplo: alerta de consulta de log para certificados com expiração próxima

Você pode definir um alerta para notificá-lo sobre certificados prestes a expirar.

Observação

Eventos de expiração próximos para certificados são registrados 30 dias antes da expiração.

  1. Vá para Logs e cole a consulta abaixo na janela de consulta

    AzureDiagnostics
    | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
    | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
    | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
    | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
    
    
  2. Selecione Nova regra de alerta

    Captura de tela que mostra a janela de consulta com a nova regra de alerta selecionada.

  3. Na guia Condição, use a seguinte configuração:

    • Em Medição, defina a Granularidade de agregação como 1 dia
    • Em Divisão por dimensões, defina a coluna ID do Recurso como ResourceId.
    • Defina CertName e DayTillExpire como dimensões.
    • Em Lógica de alerta, defina o Valor limite como 0 e a Frequência da avaliação como 1 dia.

    Captura de tela que mostra a configuração da condição de alerta.

  4. Na guia Ações, configure o alerta para enviar um email

    1. Selecione criar grupo de ações

      Captura de tela que mostra como criar um grupo de ações.

    2. Configurar Criar grupo de ações

      Captura de tela que mostra como configurar o grupo de ações.

    3. Configurar Notificações para enviar um email

      Captura de tela que mostra como configurar a notificação.

    4. Configurar Detalhes para disparar o alerta de Aviso

      Captura de tela que mostra como configurar os detalhes da notificação.

    5. Selecione Examinar + criar

Próximas etapas

Use as ferramentas configuradas por você neste artigo para monitorar ativamente a integridade do cofre de chaves: