設定 Azure Key Vault 警示

  • 發行項

開始使用 Azure Key Vault 來儲存生產祕密之後,必須監視金鑰保存庫的健康情況,以確定服務如預期般運作。

開始調整服務時,傳送至金鑰保存庫的要求數將會增加。 如此增加可能導致要求延遲更久。 在極端情況下,可能導致節流要求,而影響服務的效能。 您還必須知道金鑰保存庫傳送的錯誤碼數量是否異常,以利於快速處理存取原則或防火牆設定的任何問題。

本文說明如何在指定的閾值上設定警示,當金鑰保存庫處於狀況不良狀態時,提醒您的小組立即採取行動。 您可以設定警示來傳送電子郵件 (最好傳送給小組通訊群組清單)、觸發 Azure 事件方格通知,或者撥打或發簡訊到電話號碼。

您可以選擇下列警示類型:

  • 基於固定值的靜態警示
  • 動態警示,在定義的時間範圍內,當受監視計量超過金鑰保存庫平均限制達到一定次數時通知您

重要

新設定的警示可能在最多 10 分鐘之後,才會開始傳送通知。

本文著重於 Key Vault 的警示。 如需 Key Vault 深入解析的相關資訊 (結合記錄和計量以提供全域監視解決方案),請參閱使用 Key Vault 深入解析來監視金鑰保存庫

設定動作群組

動作群組是可設定的通知和屬性清單。 設定警示的第一個步驟是建立動作群組,並選擇警示類型:

  1. 登入 Azure 入口網站。

  2. 在搜尋方塊中搜尋警示

  3. 選取 [管理動作]

    醒目提示 [管理動作] 按鈕的螢幕快照。

  4. 選取 [+ 新增動作群組]

    醒目提示新增動作群組按鈕的螢幕快照。

  5. 選擇動作群組的 [動作類型] 值。 在此範例中,我們將建立電子郵件和 SMS 警示。 選取 [電子郵件/SMS/推送/語音]

    醒目提示新增動作群組之選取項目的螢幕快照。

  6. 在對話方塊中,輸入電子郵件和 SMS 詳細資料,然後選取 [確定]

    顯示新增電子郵件和 S M S 訊息警示選項的螢幕快照。

設定警示閾值

接下來,建立規則並設定會觸發警示的閾值:

  1. 在 Azure 入口網站中選取金鑰保存庫資源,然後在 [監視] 下選取 [警示]

    顯示 [監視] 區段中 [警示] 功能表選項的螢幕快照。

  2. 選取 [新增警示規則]。

    顯示新增警示規則按鈕的螢幕快照。

  3. 選取警示規則的範圍。 您可以選取單一保存庫或多個保存庫。

    重要

    選取多個保存庫作為警示的範圍時,所有選取的保存庫都必須位於相同的區域。 對於不同區域中的保存庫,您必須設定個別的警示規則。

    顯示如何選取保存庫的螢幕快照。

  4. 選取閾值來定義警示的邏輯,然後選取 [新增]。 金鑰保存庫 小組建議為大多數應用程式設定下列閾值,但您可以根據應用程式需求來調整這些閾值:

    • Key Vault 可用性降到低於 100% (靜態閾值)

    重要

    此警示目前未正確包含長時間執行的作業,並回報為無法使用服務。 您可以監視 金鑰保存庫 記錄,以查看作業是否因為服務無法使用而失敗

    • Key Vault 延遲大於 1000 毫秒 (靜態閾值)

    注意

    1000 毫秒閾值的意圖是通知此區域中的 金鑰保存庫 服務工作負載高於平均值。 我們針對 金鑰保存庫 作業的 SLA 高出數倍,請參閱適用於目前 SLA 的在線服務服務等級協定。 若要在 金鑰保存庫 作業超出 SLA 時發出警示,請使用 SLA 檔中的閾值。

    • 整體保存庫飽和度大於 75% (靜態閾值)
    • 整體保存庫飽和度超過平均值 (動態閾值)
    • 錯誤碼總數高於平均值 (動態閾值)

    顯示您選取警示條件位置的螢幕快照。

範例:設定延遲的靜態警示閾值

  1. 選取 [整體服務 API 延遲] 作為訊號名稱。

    顯示選取訊號名稱的螢幕快照。

  2. 使用下列設定參數:

    • 將 [閾值] 設定為 [靜態]
    • 將 [運算子] 設定為 [大於]
    • 將 [彙總類型] 設定為 [平均]
    • 將 [臨界值] 設定為 [1000]
    • 將 [彙總細微性 (期間)] 設定為 [5 分鐘]
    • 將 [評估頻率] 設定為 [每 1 分鐘]

    顯示靜態警示閾值已設定邏輯的螢幕快照。

  3. 選取完成

範例:設定保存庫飽和度的動態警示閾值

使用動態警示時,可以看到您所選金鑰保存庫的歷史資料。 藍色區域代表金鑰保存庫的平均使用量。 紅色區域顯示尖峰,如果符合警示設定中的其他準則,則會觸發警示。 紅點顯示在彙總時間範圍內符合警示準則的違規事例。

顯示整體保存庫飽和度圖表的螢幕快照。

您可以設定在規定時間內違規超過一定次數之後觸發警示。 如果不想包含過去的資料,您可以在進階設定中選擇排除。

  1. 使用下列設定參數:

    • 將 [維度名稱] 設定為 [交易類型],並將 [維度值] 設定為 [vaultoperation]
    • 將 [閾值] 設定為 [動態]
    • 將 [運算子] 設定為 [大於]
    • 將 [彙總類型] 設定為 [平均]
    • 將 [閾值敏感度] 設定為 [中]
    • 將 [彙總細微性 (期間)] 設定為 [5 分鐘]
    • 將 [評估頻率] 設定為 [每 5 分鐘]
    • 設定 [進階設定] (選用)。

    顯示動態警示閾值已設定邏輯的螢幕快照。

  2. 選取完成

  3. 選取 [新增],以新增您設定的動作群組。

    顯示新增動作群組按鈕的螢幕快照。

  4. 在警示詳細資料中,啟用警示並指派嚴重性。

    此螢幕快照顯示啟用警示並指派嚴重性的位置。

  5. 建立警示。

電子郵件警示範例

如果您遵循上述所有步驟,當金鑰保存庫符合您設定的警示準則時,您會收到電子郵件警示。 以下是電子郵件警示的範例。

醒目提示設定電子郵件警示所需信息的螢幕快照。

範例:接近到期憑證的記錄查詢警示

您可以設定警示,通知您即將到期的憑證。

注意

憑證的接近到期事件會在到期前 30 天記錄。

  1. 移至 [ 記錄 ],並在查詢視窗中貼上下列查詢

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. 選取 [新增警示規則]

    顯示已選取新警示規則之查詢視窗的螢幕快照。

  3. 在 [ 條件] 索引 標籤中,使用下列設定:

    • [度量] 中,將匯總數據粒度設定1 天
    • [依維度分割] 中,將 [資源標識符] 數據行設定ResourceId
    • 將 CertNameDayTillExpire 設定為維度。
    • [警示邏輯] 中,將 [閾值] 設定0,並將評估頻率設定1 天

    顯示警示條件設定的螢幕快照。

  4. 在 [ 動作] 索引 標籤中設定警示以傳送電子郵件

    1. 選取 [建立動作群組]

      顯示如何建立動作群組的螢幕快照。

    2. 設定 建立動作群組

      顯示如何設定動作群組的螢幕快照。

    3. 設定 通知 以傳送電子郵件

      顯示如何設定通知的螢幕快照。

    4. 設定 詳細數據 以觸發 警告 警示

      顯示如何設定通知詳細數據的螢幕快照。

    5. 選取 [檢閱 + 建立]

下一步

使用您在本文中設定的工具,主動監視金鑰保存庫的健康情況: