Monitorização do Key Vault do Azure

Quando tem aplicações críticas e processos de negócio que dependem dos recursos do Azure, deverá querer monitorizar esses recursos quanto à disponibilidade, ao desempenho e à operação. Para o Azure Key Vault, é importante monitorizar o seu serviço à medida que começa a escalar, porque o número de pedidos enviados para o seu cofre-chave vai subir. Isto tem um potencial para aumentar a latência dos seus pedidos e, em casos extremos, fazer com que os seus pedidos sejam estrangulados, o que terá impacto no desempenho do seu serviço.

Este artigo descreve os dados de monitorização gerados por Key Vault. Key Vault usa o Monitor Azure. Se não estiver familiarizado com as características do Azure Monitor comum a todos os serviços Azure que o utilizam, leia os recursos de Monitor Azure com o Azure Monitor.

Página geral de monitorização em portal do Azure

A página de visão geral no portal do Azure para cada cofre de chaves inclui as seguintes métricas no separador "Monitorização":

  • Total de pedidos
  • Latência média
  • Rácio de sucesso

Pode selecionar "métricas adicionais" (ou o separador "Métricas" na barra lateral esquerda, em "Monitorização") para visualizar estas métricas também:

  • Latência geral da API
  • Disponibilidade geral do cofre
  • Saturação geral do cofre
  • Acesso total de serviço API
  • Total de resultados da API do serviço

Key Vault insights

Alguns serviços em Azure têm um painel de monitorização pré-construído focado especial no portal do Azure que fornece um ponto de partida para monitorizar o seu serviço. Estes dashboards especiais são chamados de "insights".

Key Vault insights fornece uma monitorização abrangente dos seus cofres chave, fornecendo uma visão unificada dos seus pedidos de Key Vault, desempenho, falhas e latência. Para obter mais detalhes, consulte monitorar o seu serviço de cofre chave com Key Vault informações.

Monitorizar dados

Key Vault recolhe os mesmos tipos de dados de monitorização que outros recursos Azure que são descritos na monitorização de dados a partir de recursos da Azure.

Consulte a referência de dados Key Vault de monitorização para obter informações detalhadas sobre as métricas e métricas de registos criadas por Key Vault.

Recolha e encaminhamento

As métricas de plataforma e o Registo de atividades são recolhidos e armazenados automaticamente, mas podem ser encaminhados para outras localizações através de uma definição de diagnóstico.

Os registos de recursos não são recolhidos nem armazenados até que crie uma definição de diagnóstico e os encaminhe para uma ou mais localizações.

Veja Criar uma definição de diagnóstico para recolher registos e métricas da plataforma no Azure para ficar a conhecer o processo detalhado de criação de uma definição de diagnóstico com o portal do Azure, a CLI ou o PowerShell. Quando cria uma definição de diagnóstico, especifica quais as categorias de registos a recolher. As categorias de Key Vault estão listadas na referência de dados de monitorização Key Vault.

Para criar uma definição de diagnóstico para o cofre de teclas, consulte Ativar Key Vault registo. As métricas e registos que pode recolher são discutidos nas seguintes secções.

Análise de métricas

Pode analisar métricas para Key Vault com métricas de outros serviços Azure utilizando métricas exploradores, abrindo métricas a partir do menu Azure Monitor. Veja Introdução ao Explorador de Métricas do Azure para obter detalhes de como utilizar esta ferramenta.

Para obter uma lista das métricas da plataforma recolhidas para Key Vault, consulte métricas de referência de dados de monitorização Key Vault

Análise de registos

Os dados em Registos monitores Azure são armazenados em tabelas onde cada mesa tem o seu próprio conjunto de propriedades únicas.

Todos os registos de recursos no Azure Monitor têm os mesmos campos seguidos por campos específicos de serviço. O esquema comum é delineado no esquema de registo de recursos do Azure Monitor

O registo de Atividades é um tipo de registo de plataforma em Azure que fornece informações sobre eventos de nível de subscrição. Pode vê-lo de forma independente ou encaminhá-lo para registos do Monitor Azure, onde pode fazer consultas muito mais complexas usando o Log Analytics.

Para obter uma lista dos tipos de registos de recursos recolhidos para Key Vault, consulte a referência de dados Key Vault de monitorização

Para obter uma lista das tabelas utilizadas pelos Registos do Monitor Azure e consultada por Log Analytics, consulte a monitorização Key Vault referência de dados

Consultas de Kusto da amostra

Importante

Quando seleciona Registos do menu Key Vault, o Log Analytics é aberto com o âmbito de consulta definido para o cofre de teclas atual. Isto significa que as consultas de registo só incluirão dados desse recurso. Se pretender executar uma consulta que inclua dados de outros cofres-chave ou dados de outros serviços Azure, selecione Logs do menu Azure Monitor . Consulte o âmbito de consulta de registo e o intervalo de tempo no Azure Monitor Log Analytics para obter mais detalhes.

Aqui ficam algumas consultas que pode introduzir na barra de pesquisa de Registo para ajudá-lo a monitorizar os seus recursos Key Vault. Estas consultas funcionam com a nova linguagem.

  • Há algum pedido lento?

    // List of KeyVault requests that took longer than 1sec. 
    // To create an alert for this query, click '+ New alert rule'
    let threshold=1000; // let operator defines a constant that can be further used in the query
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where DurationMs > threshold
    | summarize count() by OperationName, _ResourceId
    
  • Há alguma falha?

    // Count of failed KeyVault requests by status code. 
    // To create an alert for this query, click '+ New alert rule'
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
    | summarize count() by requestUri_s, ResultSignature, _ResourceId
    // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
    // httpStatusCode_d contains HTTP status code returned
    
  • Erros de deserialização de entradas

    // Shows errors caused due to malformed events that could not be deserialized by the job. 
    // To create an alert for this query, click '+ New alert rule'
    
    AzureDiagnostics
    | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
    | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
    
  • Quão ativo tem sido este KeyVault?

    // Line chart showing trend of KeyVault requests volume, per operation over time. 
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
    | render timechart
    
    
  • Quem é que chama a isto KeyVault?

    // List of callers identified by their IP address with their request count.  
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT"
    | summarize count() by CallerIPAddress
    
  • Qual a rapidez com que este KeyVault serve pedidos?

    // Line chart showing trend of request duration over time using different aggregations. 
    
    AzureDiagnostics
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
    | render timechart
    
  • Que mudanças ocorreram no mês passado?

    // Lists all update and patch requests from the last 30 days. 
    // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
    // Filter on ResourceProvider for logs specific to a service.
    
    AzureDiagnostics
    | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
    | where ResourceProvider =="MICROSOFT.KEYVAULT" 
    | where OperationName == "VaultPut" or OperationName == "VaultPatch"
    | sort by TimeGenerated desc
    

Alertas

Os alertas do Azure Monitor notificam-no proativamente quando forem encontradas condições importantes nos seus dados de monitorização. Permitem identificar e resolver problemas no seu sistema de forma preventiva. Pode definir alertas em métricas, registos e registos de atividade.

Se estiver a criar ou executar uma aplicação que é executada no Azure Key Vault, o Azure Monitor Application Insights pode oferecer tipos adicionais de alertas.

Aqui estão algumas regras de alerta comuns e recomendadas para Azure Key Vault -

  • Key Vault Disponibilidade cai abaixo de 100% (Limiar Estático)
  • Key Vault a latência é superior a 1000ms (Limiar Estático)
  • A saturação geral do cofre é superior a 75% (Limiar Estático)
  • A saturação geral do cofre excede a média (Limiar Dinâmico)
  • Códigos de erro totais superiores à média (Limiar Dinâmico)

Consulte alerta para a Key Vault Azure para obter mais detalhes.

Passos seguintes