Konfigurera Azure Key Vault-aviseringar

När du har börjat använda Azure Key Vault för att lagra dina produktionshemligheter är det viktigt att övervaka hälsotillståndet för ditt nyckelvalv för att se till att tjänsten fungerar som avsett.

När du börjar skala din tjänst ökar antalet begäranden som skickas till ditt nyckelvalv. Den här ökningen kan öka svarstiden för dina begäranden. I extrema fall kan det leda till att dina begäranden begränsas och påverkar tjänstens prestanda. Du behöver också veta om ditt nyckelvalv skickar ett ovanligt antal felkoder, så att du snabbt kan hantera eventuella problem med en åtkomstprincip eller brandväggskonfiguration.

Den här artikeln visar hur du konfigurerar aviseringar vid angivna tröskelvärden så att du kan varna ditt team att vidta åtgärder omedelbart om nyckelvalvet är i ett feltillstånd. Du kan konfigurera aviseringar som skickar ett e-postmeddelande (helst till en teamdistributionslista), utlösa ett Azure Event Grid-meddelande eller ringa eller sms:a ett telefonnummer.

Du kan välja mellan dessa aviseringstyper:

• En statisk avisering baserad på ett fast värde
• En dynamisk avisering som meddelar dig om ett övervakat mått överskrider den genomsnittliga gränsen för ditt nyckelvalv ett visst antal gånger inom ett definierat tidsintervall

Viktigt!

Det kan ta upp till 10 minuter innan nyligen konfigurerade aviseringar börjar skicka meddelanden.

Den här artikeln fokuserar på aviseringar för Key Vault. Information om Key Vault-insikter, som kombinerar både loggar och mått för att tillhandahålla en global övervakningslösning, finns i Övervaka ditt nyckelvalv med Key Vault-insikter.

Konfigurera en åtgärdsgrupp

En åtgärdsgrupp är en konfigurerbar lista över meddelanden och egenskaper. Det första steget när du konfigurerar aviseringar är att skapa en åtgärdsgrupp och välja en aviseringstyp:

1. Logga in på Azure-portalen.

2. Sök efter aviseringar i sökrutan.

3. Välj Hantera åtgärder.

   

4. Välj + Lägg till åtgärdsgrupp.

   

5. Välj värdet Åtgärdstyp för åtgärdsgruppen. I det här exemplet skapar vi en e-post- och SMS-avisering. Välj E-post/SMS/Push/Röst.

   

6. I dialogrutan anger du e-post- och SMS-information och väljer sedan OK.

   

Konfigurera tröskelvärden för aviseringar

Skapa sedan en regel och konfigurera de tröskelvärden som utlöser en avisering:

1. Välj din nyckelvalvsresurs i Azure-portalen och välj sedan Aviseringar under Övervakning.

   

2. Välj Ny aviseringsregel.

   

3. Välj aviseringsregelns omfång. Du kan välja ett enskilt valv eller flera valv.

   Viktigt!

   När du väljer flera valv för aviseringarnas omfång måste alla valda valv finnas i samma region. Du måste konfigurera separata aviseringsregler för valv i olika regioner.

   

4. Välj de tröskelvärden som definierar logiken för dina aviseringar och välj sedan Lägg till. Key Vault-teamet rekommenderar att du konfigurerar följande tröskelvärden för de flesta program, men du kan justera dem baserat på dina programbehov:

   • Key Vault-tillgängligheten sjunker under 100 procent (statiskt tröskelvärde)

   Viktigt!

   Den här aviseringen innehåller för närvarande felaktigt tidskrävande åtgärder och rapporterar dem som tjänsten är otillgänglig. Du kan övervaka Key Vault-loggar för att se om åtgärder misslyckas på grund av att tjänsten inte är tillgänglig i stället

   • Key Vault-svarstiden är större än 1 000 ms (statiskt tröskelvärde)

   Kommentar

   Avsikten med tröskelvärdet på 1 000 ms är att meddela att Key Vault-tjänsten i den här regionen har en arbetsbelastning som är högre än genomsnittet. Vårt serviceavtal för Key Vault-åtgärder är flera gånger högre, se serviceavtal för onlinetjänster för aktuellt serviceavtal. Om du vill avisera när Key Vault-åtgärder ligger ute från serviceavtalet använder du tröskelvärdena från SLA-dokumenten.

   • Total valvmättnad är större än 75 procent (statiskt tröskelvärde)
   • Övergripande valvmättnad överskrider genomsnittet (dynamiskt tröskelvärde)
   • Totalt antal felkoder är högre än genomsnittet (dynamiskt tröskelvärde)

   

Exempel: Konfigurera ett tröskelvärde för statisk avisering för svarstid

1. Välj Övergripande svarstid för tjänst-API som signalnamn.

   

2. Använd följande konfigurationsparametrar:

   • Ange Tröskelvärde till Statisk.
   • Ange Operator till Större än.
   • Ange Sammansättningstyp till Genomsnitt.
   • Ange Tröskelvärde till 1 000.
   • Ange sammansättningskornighet (period) till 5 minuter.
   • Ange Utvärderingsfrekvens till Var 1 minut.

   

3. Välj Klar.

Exempel: Konfigurera ett dynamiskt aviseringströskelvärde för valvmättnad

När du använder en dynamisk avisering kan du se historiska data för det nyckelvalv som du har valt. Det blå området representerar den genomsnittliga användningen av ditt nyckelvalv. Det röda området visar toppar som skulle ha utlöst en avisering om andra kriterier i aviseringskonfigurationen uppfylldes. De röda punkterna visar instanser av överträdelser där kriterierna för aviseringen uppfylldes under den aggregerade tidsperioden.

Du kan ange att en avisering ska utlösas efter ett visst antal överträdelser inom en viss tid. Om du inte vill inkludera tidigare data finns det ett alternativ för att exkludera dem i avancerade inställningar.

1. Använd följande konfigurationsparametrar:

   • Ange Dimensionsnamn till Transaktionstyp och Dimensionsvärden till valvoperation.
   • Ange Tröskelvärde till Dynamisk.
   • Ange Operator till Större än.
   • Ange Sammansättningstyp till Genomsnitt.
   • Ange Tröskelvärdeskänslighet till Medel.
   • Ange sammansättningskornighet (period) till 5 minuter.
   • Ange Utvärderingsfrekvens till Var 5:e minut.
   • Konfigurera avancerade inställningar (valfritt).

   

2. Välj Klar.

3. Välj Lägg till för att lägga till den åtgärdsgrupp som du har konfigurerat.

   

4. I aviseringsinformationen aktiverar du aviseringen och tilldelar en allvarlighetsgrad.

   

5. Skapa aviseringen.

Exempel på e-postavisering

Om du har följt alla föregående steg får du e-postaviseringar när ditt nyckelvalv uppfyller de aviseringsvillkor som du har konfigurerat. Följande e-postavisering är ett exempel.

Exempel: Logga frågeaviseringar för certifikat som snart upphör att gälla

Du kan ange en avisering för att meddela dig om certifikat som snart upphör att gälla.

Kommentar

Händelser som snart upphör att gälla för certifikat loggas 30 dagar innan de upphör att gälla.

1. Gå till Loggar och klistra in frågan nedan i frågefönstret

   AzureDiagnostics
   | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
   | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
   | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
   | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
   
   

2. Välj Ny aviseringsregel

   

3. På fliken Villkor använder du följande konfiguration:

   • I Mått anger du sammansättningskornighet till 1 dag
   • I Dela efter dimensioner anger du Kolumnen Resurs-ID till ResourceId.
   • Ange CertName och DayTillExpire som dimensioner.
   • I Aviseringslogik anger du Tröskelvärde till 0 och Utvärderingsfrekvens till 1 dag.

   

4. På fliken Åtgärder konfigurerar du aviseringen för att skicka ett e-postmeddelande

   1. Välj skapa åtgärdsgrupp

      

   2. Konfigurera åtgärdsgruppen Skapa

      

   3. Konfigurera meddelanden för att skicka ett e-postmeddelande

      

   4. Konfigurera information för att utlösa varningsavisering

      

   5. Välj Granska + skapa

Nästa steg

Använd de verktyg som du har konfigurerat i den här artikeln för att aktivt övervaka hälsotillståndet för ditt nyckelvalv:

• Övervaka Key Vault
• Övervaka Key Vault-datareferens
• Skapa en loggfrågeavisering för en Azure-resurs