Настройка оповещений Azure Key Vault

  • Статья

Когда вы начнете использовать Azure Key Vault для хранения секретов рабочей среды, важно отслеживать работоспособность хранилища ключей, чтобы знать, что служба работает должным образом.

После начала масштабирования службы количество запросов, отправленных в хранилище ключей, будет возрастать. Этот рост может увеличить задержку запросов. В крайних случаях он может привести к регулированию запросов и повлиять на производительность службы. Вам также нужно будет знать, если хранилище ключей отправляет необычное количество кодов ошибок, чтобы быстро решать проблемы, связанные с настройкой политики доступа или брандмауэра.

В этой статье описано, как настроить оповещения при достижении заданных пороговых значений, чтобы команда могла получать уведомления о необходимости немедленных действий, если хранилище ключей находится в неработоспособном состоянии. Можно настроить оповещения, которые отправляют сообщение электронной почты (желательно членам команды из списка рассылки), инициируют отправку уведомлений Сетки событий Azure, звонят по номеру телефона или отправляют на него SMS-сообщение.

Вы можете выбрать один из следующих типов оповещений:

  • Статическое оповещение на основе фиксированного значения
  • Динамическое оповещение о том, что в течение заданного диапазона времени отслеживаемая метрическая метрика несколько раз превысила средний предел хранилища ключей

Внимание

Обратите внимание, что новым настроенным оповещениям может потребоваться до 10 минут, чтобы начать отправку уведомлений.

В этой статье основное внимание уделяется оповещениям для Key Vault. Подробнее об аналитических сведениях Key Vault, которые объединяют данные журналов и метрик в качестве глобального решения для мониторинга, см. в статье Мониторинг хранилища ключей с помощью аналитических сведений Key Vault.

Настройка группы действий

Группа действий — это настраиваемый список уведомлений и свойств. На первом этапе настройки оповещений создается группа действий и выбирается тип оповещения:

  1. Войдите на портал Azure.

  2. Выполните поиск по ключевому слову оповещения в поле поиска.

  3. Выберите Управление действиями.

    Снимок экрана с выделенной кнопкой

  4. Выберите + Добавить группу действий.

    Снимок экрана с выделенной кнопкой для добавления группы действий.

  5. Выберите значение Тип действия для группы действий. В этом примере мы создадим оповещение по электронной почте и SMS. Выберите Эл. почта, SMS, push-уведомление или звонок.

    Снимок экрана с выделенными выбранными параметрами для добавления группы действий.

  6. В диалоговом окне введите данные для отправки электронной почты и SMS, а затем выберите ОК.

    Снимок экрана с выбранными параметрами для добавления оповещений по электронной почте и SMS.

Настройка пороговых значений для оповещений

Затем создайте правило и настройте пороговые значения, которые будут вызывать оповещение.

  1. Выберите ресурс хранилища ключей на портале Azure и щелкните Оповещения в разделе Мониторинг.

    Снимок экрана, показывающий пункт меню

  2. Выберите Новое правило генерации оповещений.

    Снимок экрана, показывающий кнопку для добавления правила генерации оповещений.

  3. Выберите область действия правила генерации оповещений. Можно выбрать одно или несколько хранилищ.

    Внимание

    Если в качестве области действия оповещений выбираются несколько хранилищ, все они должны находиться в одном регионе. Для хранилищ в разных регионах потребуется настроить отдельные правила генерации оповещений.

    Снимок экрана, показывающий выбор хранилища.

  4. Выберите пороговые значения, которые определяют логику оповещений, и щелкните Добавить. Команда Key Vault рекомендует настроить следующие пороговые значения для большинства приложений, но их можно настроить в зависимости от потребностей приложения:

    • Доступность Key Vault падает ниже 100 % (статическое пороговое значение)

    Внимание

    Это оповещение в настоящее время неправильно включает длительные операции и сообщает о них, как служба недоступна. Вы можете отслеживать журналы Key Vault, чтобы узнать, возникают ли сбои операций из-за недоступности службы.

    • Задержка Key Vault больше 1000 мс (статическое пороговое значение)

    Примечание.

    Целью порогового значения 1000 мс является уведомление о том, что служба Key Vault в этом регионе имеет рабочую нагрузку выше средней. Соглашение об уровне обслуживания для операций Key Vault несколько раз выше, см . соглашение об уровне обслуживания для веб-служб для текущего соглашения об уровне обслуживания. Чтобы оповещать, когда операции Key Vault не входят в соглашение об уровне обслуживания, используйте пороговые значения из документов об уровне обслуживания.

    • Общая насыщенность хранилища превышает 75 % (статическое пороговое значение)
    • Общая насыщенность хранилища выше средней (динамическое пороговое значение)
    • Общее количество кодов ошибок выше среднего (динамическое пороговое значение)

    Снимок экрана, показывающий раздел выбора условий для оповещений.

Пример. Настройка статического порогового значения для оповещений о задержке

  1. Выберите Общая задержка API службы в качестве имени сигнала.

    Снимок экрана, показывающий выбор имени сигнала.

  2. Используйте следующие параметры конфигурации:

    • ПорогСтатический.
    • ОператорБольше.
    • Тип агрегированияСредний.
    • Пороговое значение1000.
    • Степень детализации агрегата (период)5 минут.
    • Периодичность вычисленияКаждую минуту.

    Снимок экрана, показывающий настроенную логику для статического порога оповещений.

  3. Нажмите кнопку Готово.

Пример. Настройка динамического порогового значения для оповещения о насыщенности хранилища

При использовании динамического оповещения вы сможете просматривать исторические данные выбранного хранилища ключей. Синяя область представляет среднее использование хранилища ключей. Красная область показывает пиковые значения, которые привели к генерации оповещений, если другие условия конфигурации оповещений были соблюдены. Красные точки показывают экземпляры нарушений, для которых в агрегированном временном окне были выполнены условия оповещения.

Снимок экрана, показывающий график общей насыщенности хранилища.

Можно настроить срабатывание оповещения после определенного количества нарушений в течение заданного времени. Если вы не хотите включать исторические данные, их можно исключить в дополнительных параметрах.

  1. Используйте следующие параметры конфигурации:

    • Задайте для параметра "Имя измерения" значение "Тип транзакции" и "Значения измерения" для хранилища.
    • ПорогДинамический.
    • ОператорБольше.
    • Тип агрегированияСредний.
    • Порог чувствительностиСредний.
    • Степень детализации агрегата (период)5 минут.
    • Периодичность вычисления5 минут.
    • Настройте дополнительные параметры (необязательно).

    Снимок экрана, показывающий настроенную логику для динамического порога оповещений.

  2. Нажмите кнопку Готово.

  3. Щелкните Добавить, чтобы добавить настроенную группу действий.

    Снимок экрана, показывающий кнопку для добавления группы действий.

  4. В сведениях об оповещении включите оповещение и укажите степень его серьезности.

    Снимок экрана, показывающий раздел для включения оповещения и указания степени его серьезности.

  5. Создайте оповещение.

Пример оповещения по электронной почте

Если вы выполнили все предыдущие шаги, то будете получать оповещения по электронной почте, если ключ хранилища соответствует настроенным критериям оповещения. Ниже приведен пример оповещения по электронной почте.

Снимок экрана с выделенными сведениями, необходимыми для настройки оповещения по электронной почте.

Пример: оповещение запроса журнала для сертификатов с истекающим сроком действия

Вы можете настроить оповещение, чтобы уведомить вас о сертификатах, срок действия которых истекает.

Примечание.

События почти истекшего срока действия для сертификатов регистрируются через 30 дней до истечения срока действия.

  1. Перейдите в журналы и вставьте приведенный ниже запрос в окне запроса

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Выберите Новое правило генерации оповещений

    Снимок экрана: окно запроса с выбранным новым правилом генерации оповещений.

  3. На вкладке "Условие" используется следующая конфигурация:

    • В наборе измерений степень детализации агрегирования до 1 дня
    • В разделе "Разделение по измерениям " задайте для столбцаидентификатора ресурса значение ResourceId.
    • Задайте CertName и DayTillExpire в качестве измерений.
    • В логике генерации оповещений задано пороговое значение0 и частота оценки до 1 дня.

    Снимок экрана: конфигурация условия генерации оповещений.

  4. На вкладке "Действия" настройка оповещения для отправки сообщения электронной почты

    1. Выберите команду "Создать группу действий"

      Снимок экрана: создание группы действий.

    2. Настройка группы действий Create

      Снимок экрана: настройка группы действий.

    3. Настройка уведомлений для отправки сообщения электронной почты

      Снимок экрана, на котором показано, как настроить уведомление.

    4. Настройка сведений для активации предупреждения

      Снимок экрана: настройка сведений о уведомлении.

    5. Нажмите Проверить и создать.

Следующие шаги

Используйте средства, настроенные в процессе работы с этой статьей, чтобы активно отслеживать работоспособность хранилища ключей.