設定 Azure Key Vault 警示

開始使用 Azure Key Vault 來儲存生產祕密之後，必須監視金鑰保存庫的健康情況，以確定服務如預期般運作。

開始調整服務時，傳送至金鑰保存庫的要求數將會增加。 如此增加可能導致要求延遲更久。 在極端情況下，可能導致節流要求，而影響服務的效能。 您還必須知道金鑰保存庫傳送的錯誤碼數量是否異常，以利於快速處理存取原則或防火牆設定的任何問題。

本文說明如何在指定的閾值上設定警示，當金鑰保存庫處於狀況不良狀態時，提醒您的小組立即採取行動。 您可以設定警示來傳送電子郵件 (最好傳送給小組通訊群組清單)、觸發 Azure 事件方格通知，或者撥打或發簡訊到電話號碼。

您可以選擇下列警示類型：

• 基於固定值的靜態警示
• 動態警示，在定義的時間範圍內，當受監視計量超過金鑰保存庫平均限制達到一定次數時通知您

重要

新設定的警示可能在最多 10 分鐘之後，才會開始傳送通知。

本文著重於 Key Vault 的警示。 如需 Key Vault 深入解析的相關資訊 (結合記錄和計量以提供全域監視解決方案)，請參閱使用 Key Vault 深入解析來監視金鑰保存庫。

設定動作群組

動作群組是可設定的通知和屬性清單。 設定警示的第一個步驟是建立動作群組，並選擇警示類型：

1. 登入 Azure 入口網站。

2. 在搜尋方塊中搜尋警示。

3. 選取 [管理動作]。

   

4. 選取 [+ 新增動作群組]。

   

5. 選擇動作群組的 [動作類型] 值。 在此範例中，我們將建立電子郵件和 SMS 警示。 選取 [電子郵件/SMS/推送/語音]。

   

6. 在對話方塊中，輸入電子郵件和 SMS 詳細資料，然後選取 [確定]。

   

設定警示閾值

接下來，建立規則並設定會觸發警示的閾值：

1. 在 Azure 入口網站中選取金鑰保存庫資源，然後在 [監視] 下選取 [警示]。

   

2. 選取 [新增警示規則]。

   

3. 選取警示規則的範圍。 您可以選取單一保存庫或多個保存庫。

   重要

   選取多個保存庫作為警示的範圍時，所有選取的保存庫都必須位於相同的區域。 對於不同區域中的保存庫，您必須設定個別的警示規則。

   

4. 選取閾值來定義警示的邏輯，然後選取 [新增]。 Key Vault 小組建議為大部分應用程式設定下列閾值，但您可以根據應用程式需求來調整這些閾值：

   • Key Vault 可用性降到低於 100% (靜態閾值)

   重要

   此警示目前未正確包含長時間執行的作業，並回報為無法使用服務。 您可以監視 Key Vault 記錄，以查看作業是否因為無法使用服務而失敗

   • Key Vault 延遲大於 1000 毫秒 (靜態閾值)

   注意

   1000 毫秒閾值的目的是通知此區域中的 Key Vault 服務具有高於平均值的工作負載。 我們的 Key Vault 作業 SLA 高出數倍，請參閱線上服務的服務等級協定以取得目前的 SLA。 若要在 Key Vault 作業超出 SLA 時發出警示，請使用 SLA 文件中的閾值。

   • 整體保存庫飽和度大於 75% (靜態閾值)
   • 整體保存庫飽和度超過平均值 (動態閾值)
   • 錯誤碼總數高於平均值 (動態閾值)

   

範例：設定延遲的靜態警示閾值

1. 選取 [整體服務 API 延遲] 作為訊號名稱。

   

2. 使用下列設定參數：

   • 將 [閾值] 設定為 [靜態]。
   • 將 [運算子] 設定為 [大於]。
   • 將 [彙總類型] 設定為 [平均]。
   • 將 [臨界值] 設定為 [1000]。
   • 將 [彙總細微性 (期間)] 設定為 [5 分鐘]。
   • 將 [評估頻率] 設定為 [每 1 分鐘]。

   

3. 選取完成。

範例：設定保存庫飽和度的動態警示閾值

使用動態警示時，可以看到您所選金鑰保存庫的歷史資料。 藍色區域代表金鑰保存庫的平均使用量。 紅色區域顯示尖峰，如果符合警示設定中的其他準則，則會觸發警示。 紅點顯示在彙總時間範圍內符合警示準則的違規事例。

您可以設定在規定時間內違規超過一定次數之後觸發警示。 如果不想包含過去的資料，您可以在進階設定中選擇排除。

1. 使用下列設定參數：

   • 將 [維度名稱] 設定為 [交易類型]，並將 [維度值] 設定為 [vaultoperation]。
   • 將 [閾值] 設定為 [動態]。
   • 將 [運算子] 設定為 [大於]。
   • 將 [彙總類型] 設定為 [平均]。
   • 將 [閾值敏感度] 設定為 [中]。
   • 將 [彙總細微性 (期間)] 設定為 [5 分鐘]。
   • 將 [評估頻率] 設定為 [每 5 分鐘]。
   • 設定 [進階設定] (選用)。

   

2. 選取完成。

3. 選取 [新增]，以新增您設定的動作群組。

   

4. 在警示詳細資料中，啟用警示並指派嚴重性。

   

5. 建立警示。

電子郵件警示範例

如果您遵循上述所有步驟，當金鑰保存庫符合您設定的警示準則時，您會收到電子郵件警示。 以下是電子郵件警示的範例。

範例：接近到期憑證的記錄查詢警示

您可以設定警示，通知您即將到期的憑證。

注意

憑證的接近到期事件會在到期前 30 天記錄。

1. 移至 [記錄]，並在查詢視窗中貼上下列查詢

   AzureDiagnostics
   | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
   | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
   | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
   | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
   
   

2. 選取 [新增警示規則]

   

3. 在 [條件] 索引標籤中使用下列組態：

   • 在 [度量] 中，將 [彙總細微性] 設定為 [1 天]
   • 在 [依維度分割] 中，將 [資源識別碼資料行] 設定為 [ResourceId]。
   • 將 [CertName] 和 [DayTillExpire] 設定為維度。
   • 在 [警示邏輯] 中， 將 [閾值值] 設定為 [0]，並將 [評估頻率] 設定為 [1 天]。

   

4. 在 [動作] 索引標籤中，設定警示以傳送電子郵件

   1. 選取 [建立動作群組]

      

   2. 設定 [建立動作群組]

      

   3. 設定 [通知] 以傳送電子郵件

      

   4. 設定 [詳細資料] 以觸發 [警告] 警示

      

   5. 選取 [檢閱 + 建立]

下一步

使用您在本文中設定的工具，主動監視金鑰保存庫的健康情況：

• 監視器金鑰保存庫
• 監視 Key Vault 資料參考
• 建立 Azure 資源的記錄查詢警示