監視 Azure Key Vault

本文章說明：

• 您可以為此服務收集的監視資料類型。
• 分析資料的方式。

注意

如果您已經熟悉此服務和/或 Azure 監視器，只想知道如何分析監視資料，請參閱本文靠近結尾的分析一節。

當您有依賴 Azure 資源的重要應用程式和商務流程時，就需要監視並取得系統的警示。 Azure 監視器服務會從您系統的每個元件收集及彙總計量和記錄。 Azure 監視器讓您能夠檢視可用性、效能及復原能力，並在發生問題時通知您。 您可以使用 Azure 入口網站、PowerShell、Azure CLI、REST API 或用戶端程式庫來設定及檢視監視資料。

• 如需 Azure 監視器的詳細資訊，請參閱 Azure 監視器概觀 (機器翻譯)。
• 如需進一步了解一般如何監視 Azure 資源，請參閱使用 Azure 監視器監視 Azure 資源 (機器翻譯)。

深入解析

Azure 中的某些服務在 Azure 入口網站中有內建的監視儀表板，可提供監視服務的起點。 這些儀表板稱為深入解析，您可以在 Azure 入口網站中 Azure 監視器的深入解析中樞中找到這些儀表板。

Key Vault 深入解析可針對您的 Key Vault 要求、效能、失敗和延遲提供統合檢視，讓您能夠全面監視金鑰保存庫。 如需完整的詳細資料，請參閱使用 Key Vault 深入解析來監視金鑰保存庫服務。

Azure 入口網站中的 [監視] 概觀頁面

每個金鑰保存庫在 Azure 入口網站中的 [概觀] 頁面會在 [監視] 索引標籤上包含下列計量：

• 總要求數
• 平均延遲
• 成功率

您可以選取 [其他計量] 或 [監視] 底下左側提要欄位中的 [計量] 索引標籤，以檢視以下計量：

• 整體服務 API 延遲
• 整體保存庫可用性
• 整體保存庫飽和度
• 服務 API 點擊次數總計
• 服務 API 結果總計

資源類型

Azure 會使用資源類型和識別碼的概念來識別訂用帳戶中的所有內容。 資源類型也是 Azure 中所執行每個資源的資源識別碼組成部分。 例如，虛擬機器的一種資源類型是 Microsoft.Compute/virtualMachines。 如需服務及其相關聯資源類型的清單，請參閱資源提供者 (機器翻譯)。

Azure 監視器同樣會依據資源類型將核心監視資料組織成計量和記錄，也稱為命名空間。 不同的計量和記錄適用於不同的資源類型。 您的服務可能會與多個資源類型相關聯。

如需 Key Vault 資源類型的詳細資訊，請參閱 Azure Key Vault 監視資料參考。

資料存放區

對於 Azure 監視器：

• 計量資料會儲存在 Azure 監視器計量資料庫中。
• 記錄資料會儲存在 Azure 監視器記錄存放區中。 Log Analytics 是可查詢此存放區的 Azure 入口網站工具。
• Azure 活動記錄是個單獨存放區，其介面位於 Azure 入口網站。

您可選擇性地將計量和活動記錄資料路由傳送至 Azure 監視器記錄存放區。 然後，可以使用 Log Analytics 來查詢資料，並將其與其他記錄資料相互關聯。

許多服務可以使用診斷設定，將計量和記錄資料傳送至 Azure 監視器以外的其他儲存位置。 範例包括 Azure 儲存體、託管的合作夥伴系統以及使用事件中樞的非 Azure 合作夥伴系統。

如需進一步了解 Azure 監視器如何儲存資料，請參閱 Azure 監視器資料平台。

收集和路由傳送

系統會自動收集和儲存平台計量和活動記錄，但是可以使用診斷設定將資料路由傳送至其他位置。

在您建立診斷設定並將其路由至一個或多個位置之前，不會收集並儲存資源記錄。

如需使用 Azure 入口網站、Azure CLI 或 PowerShell 建立診斷設定的詳細程序，請參閱建立診斷設定以在 Azure 中收集平台記錄和計量。 在建立診斷設定時，您可以指定要收集的記錄類別。 Key Vault 的類別會列在 Key Vault 監視資料參考中。

若要為金鑰保存庫建立診斷設定，請參閱啟用 Key Vault 記錄。 下列各節將討論您可以收集的計量和記錄。

Azure 監視器平台計量

Azure 監視器為大多數服務提供平台計量。 這些計量包括：

• 針對每個命名空間個別定義。
• 儲存在 Azure 監視器時間序列計量資料庫中。
• 輕量且能支援近即時警示。
• 用來追蹤資源效能的長期變化。

收集：Azure 監視器會自動收集平台計量。 不需要組態。

路由：通常您也可以將平台計量路由傳送至 Azure 監視器記錄/Log Analytics，以便與其他記錄資料一同查詢。 如需詳細資訊，請參閱計量診斷設定 (機器翻譯)。 如需了解如何設定服務的診斷設定，請參閱在 Azure 監視器中建立診斷設定 (機器翻譯)。

如需 Azure 監視器中所有資源可收集的計量完整清單，請參閱 Azure 監視器中所支援的計量。

可開啟 [Azure 監視器] 功能表的 [計量]，使用計量瀏覽器以其他 Azure 服務提供的計量來分析 Key Vault 的計量。 如需使用此工具的詳細資料，請參閱使用 Azure 監視器計量總管分析計量。

如需 Key Vault 可用計量的清單，請參閱 Azure Key Vault 監視資料參考。

Azure 監視器資源記錄

資源記錄提供對 Azure 資源所完成作業的深入解析。 系統會自動產生記錄，但您必須將其路由傳送至 Azure 監視器記錄，才能儲存或查詢這些記錄。 按類別組織記錄。 指定的命名空間可能會有多個資源記錄類別。

收集：您必須先建立「診斷設定」，並將記錄路由傳送至一個或多個位置，才會開始收集和儲存資源記錄。 在建立診斷設定時，您可以指定要收集的記錄類別。 有多種方式可以建立和維護診斷設定，包括透過 Azure 入口網站、程式設計方式，以及 Azure 原則。

路由傳送：建議的預設設定是將資源記錄路由傳送至 Azure 監視器記錄，以便與其他記錄資料一同查詢。 您也可以使用其他位置，例如 Azure 儲存體、Azure 事件中樞及特定 Microsoft 監視合作夥伴。 如需詳細資訊，請參閱 Azure 資源記錄 (機器翻譯) 和資源記錄目的地 (機器翻譯)。

如需收集、儲存及路由傳送資源記錄的詳細資訊，請參閱 Azure 監視器中的診斷設定 (機器翻譯)。

如需 Azure 監視器中所有可用資源記錄類別的清單，請參閱 Azure 監視器中支援的資源記錄 (機器翻譯)。

Azure 監視器中的所有資源記錄都有相同的標頭欄位，後面接著服務特定的欄位。 一般結構描述如 Azure 監視器資源記錄結構描述中所述。

如需可用的資源記錄類別、其相關聯的 Log Analytics 資料表，以及 Key Vault 的記錄結構描述，請參閱 Azure Key Vault 監視資料參考。

Azure 活動記錄 (部分機器翻譯)

活動記錄包含訂用帳戶層級事件，用於追蹤每個 Azure 資源外部可見的作業；例如，建立新的資源或啟動虛擬機器。

收集：活動記錄事件會自動產生並收集至個別存放區中，以便使用者在 Azure 入口網站中檢視。

路由：您可以將活動記錄資料傳送至 Azure 監視器記錄，以便與其他記錄資料一起分析。 您也可以使用其他位置，例如 Azure 儲存體、Azure 事件中樞及特定 Microsoft 監視合作夥伴。 如需進一步了解如何路由傳送活動記錄，請參閱 Azure 活動記錄概觀 (機器翻譯)。

分析記錄

Azure 監視器記錄中的資料會儲存在資料表中，其中每個資料表都有一組專屬的唯一屬性。

Azure 監視器中的所有資源記錄都有相同的欄位，後面接著服務特定的欄位。 一般結構描述如 Azure 監視器資源記錄結構描述中所述

活動記錄是 Azure 的平台記錄類型，可提供訂用帳戶層級事件的深入解析。 您可以獨立檢視活動記錄，或將記錄路由至 Azure 監視器記錄，以便使用 Log Analytics 處理更為複雜的查詢作業。

如需針對 Key Vault 所收集的資源記錄類型清單，請參閱監視 Key Vault 資料參考

如需 Azure 監視器記錄所使用且可由 Log Analytics 查詢的資料表清單，請參閱監視 Key Vault 資料參考

分析監視資料

有許多工具可用來分析監視資料。

Azure 監視器工具

Azure 監視器支援下列基本工具：

• 計量瀏覽器是 Azure 入口網站中的工具，可讓您檢視和分析 Azure 資源的計量。 如需詳細資訊，請參閱使用 Azure 監視器計量瀏覽器分析計量。

• Log Analytics，這是 Azure 入口網站中的工具，可讓您使用 Kusto 查詢語言 (KQL) 來查詢和分析記錄資料。 如需詳細資訊，請參閱開始使用 Azure 監視器中的記錄查詢。

• 活動記錄在 Azure 入口網站中具有使用者介面，可供檢視和基本搜尋。 若要進行更深入的分析，您必須將資料路由傳送至 Azure 監視器記錄，並在 Log Analytics 中執行更複雜的查詢。

支援更複雜視覺效果的工具包括：

• 儀表板 (機器翻譯) 可讓您將不同類型的資料合併到 Azure 入口網站中的單一窗格。
• 活頁簿 (機器翻譯) 是能在 Azure 入口網站中建立的可自訂報表。 活頁簿可以包含文字、計量及記錄查詢。
• Grafana 是在操作儀表板中表現相當出色的開放平台工具。 您可以使用 Grafana 來建立儀表板，納入 Azure 監視器以外多個來源的資料。
• Power BI (機器翻譯) 是一項商務分析服務，可提供跨各種資料來源的互動式視覺效果。 你可以將 Power BI 設定為自動從 Azure 監視器匯入記錄資料，以利用這些視覺效果。

Azure 監視器匯出工具

您可以使用下列方法將資料從 Azure 監視器中提取至其他工具：

• 計量：使用計量的 REST API (機器翻譯) 從 Azure 監視器計量資料庫中擷取計量資料。 此 API 支援使用篩選條件運算式來縮小擷取的資料範圍。 如需詳細資訊，請參閱 Azure 監視器 REST API 參考 (機器翻譯)。

• 記錄：使用 REST API 或相關聯的用戶端程式庫 (機器翻譯)。

• 另一個選項是工作區資料匯出 (機器翻譯)。

若要開始使用適用於 Azure 監視器的 REST API，請參閱 Azure 監視 REST API 逐步解說 (機器翻譯)。

Kusto 查詢

您可以使用 Kusto 查詢語言 (KQL) 分析 Azure 監視器記錄/Log Analytics 存放區中的監視資料。

重要

當您從入口網站的服務功能表中選取 [記錄] 時，Log Analytics 會隨即開啟，並將查詢範圍設定為目前的服務。 此範圍表示記錄查詢只會包含該資源類型的資料。 如果您想要執行包含其他 Azure 服務資料的查詢，請從 [Azure 監視器] 功能表中選取 [記錄]。 如需詳細資訊，請參閱 Azure 監視器 Log Analytics 中的記錄查詢範圍和時間範圍。

如需各項服務的常見查詢清單，請參閱 Log Analytics 查詢介面 (機器翻譯)。

以下是一些您可以在 [記錄搜尋] 列中輸入以利監視 Key Vault 資源的查詢。 這些查詢使用新語言。

• 是否有任何用戶端使用舊版 TLS (<1.2)？

  AzureDiagnostics
  | where TimeGenerated > ago(90d) 
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0
  | project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s)
  | sort by TimeGenerated desc
  

• 是否有任何緩慢的要求？

  // List of KeyVault requests that took longer than 1sec. 
  // To create an alert for this query, click '+ New alert rule'
  let threshold=1000; // let operator defines a constant that can be further used in the query
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where DurationMs > threshold
  | summarize count() by OperationName, _ResourceId
  

• 是否有任何失敗？

  // Count of failed KeyVault requests by status code. 
  // To create an alert for this query, click '+ New alert rule'
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
  | summarize count() by requestUri_s, ResultSignature, _ResourceId
  // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
  // httpStatusCode_d contains HTTP status code returned
  

• 是否有任何輸入還原序列化錯誤？

  // Shows errors caused due to malformed events that could not be deserialized by the job. 
  // To create an alert for this query, click '+ New alert rule'
  
  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
  | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
  

• 這個 KeyVault 有多活躍？

  // Line chart showing trend of KeyVault requests volume, per operation over time. 
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
  | render timechart
  
  

• 誰在呼叫此 KeyVault？

  // List of callers identified by their IP address with their request count.  
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT"
  | summarize count() by CallerIPAddress
  

• 這個 KeyVault 對要求提供服務的速度有多快？

  // Line chart showing trend of request duration over time using different aggregations. 
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
  | render timechart
  

• 上個月發生了哪些變更？

  // Lists all update and patch requests from the last 30 days. 
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where OperationName == "VaultPut" or OperationName == "VaultPatch"
  | sort by TimeGenerated desc
  

警示

在監視資料中發現特定狀況時，Azure 監視器警示會主動通知您。 警示可讓您在客戶發現系統發生問題前，就先及早識別和解決問題。 如需詳細資訊，請參閱 Azure 監視器警示。

Azure 資源的常見警示有許多來源。 如需 Azure 資源的常見警示範例，請參閱記錄警示查詢範例 (機器翻譯)。 Azure 監視器基準警示 (AMBA) 網站提供半自動化方法來實作重要的平台計量警示、儀表板和指導方針。 此網站適用於持續擴充的 Azure 服務子集，包括屬於 Azure 登陸區域 (ALZ) 的所有服務。

常見的警示結構描述會將 Azure 監視器警示通知的使用量標準化。 如需詳細資訊，請參閱一般警示結構描述 (機器翻譯)。

警示類型

您可以針對在 Azure 監視器資料平台中的任何計量或記錄資料來源發出警示。 警示有許多不同的類型，具體取決於您監視的服務以及所收集的監視資料。 不同類型的警示各有優缺點。 如需詳細資訊，請參閱選擇正確的監視警示類型 (機器翻譯)。

下列清單介紹可建立的 Azure 監視器警示類型：

• 計量警示 (機器翻譯) 會定期評估資源計量。 這些計量可以是平台計量、自訂計量、Azure 監視器轉換成計量的記錄，或 Application Insights 計量。 計量警示還可以套用多個條件和動態閾值。
• 記錄警示 (機器翻譯) 可讓使用者使用 Log Analytics 查詢，以預先定義的頻率評估資源記錄。
• 活動記錄警示 (機器翻譯) 會在發生符合定義條件的新活動記錄事件時觸發。 資源健康狀態警示和服務健康情況警示是報告服務和資源健康狀態的活動記錄警示。

某些 Azure 服務也支援智慧偵測警示、Prometheus 警示或建議的警示規則。

對於某些服務，若要進行大規模監控，您可以將同一計量警示規則套用至相同 Azure 區域中存在的多個同類型資源。 系統會針對每個受監視的資源傳送個別通知。 如需支援的 Azure 服務和雲端，請參閱使用一個警示規則監視多個資源 (機器翻譯)。

注意

如果您要建立或執行在您的服務上執行的應用程式，Azure 監視器 Application Insights 可提供更多類型的警示。

Key Vault 警示規則

下列清單包含 Key Vault 的一些建議警示規則。 這些警示只是範例。 您可以針對 Azure Key Vault 監視資料參考中列出的任何計量、記錄項目或活動記錄項目設定警示。

• Key Vault 可用性降到低於 100% (靜態閾值)
• Key Vault 延遲大於 1000 毫秒 (靜態閾值)
• 整體保存庫飽和度大於 75% (靜態閾值)
• 整體保存庫飽和度超過平均值 (動態閾值)
• 錯誤碼總數高於平均值 (動態閾值)

如需詳細資訊，請參閱 Azure Key Vault 的警示。

Advisor 建議

對於一些服務，如果在資源作業期間發生重大狀況或有即將到來的變更，入口網站的服務 [概觀] 頁面上會顯示警示。 您可以在左側功能表中 [監視] 底下的 [Advisor 建議] 中找到警示的詳細資訊和建議的修正。 在正常作業期間，不會顯示 Advisor 建議。

如需 Azure Advisor 的詳細資訊，請參閱 Azure Advisor 概觀 (機器翻譯)。

相關內容

• 若要參考計量、記錄以及其他為 Key Vault 建立的重要值，請參閱 Azure Key Vault 監視資料參考。
• 如需監視 Azure 資源的一般詳細資訊，請參閱使用 Azure 監視器來監視 Azure 資源。