監視 Azure Key Vault

本文章說明：

• 您可以為此服務收集的監視資料類型。
• 分析資料的方式。

注意

如果您已經熟悉此服務和/或 Azure 監視器，並只想知道如何分析監視數據，請參閱本文結尾附近的分析一節。

當您有依賴 Azure 資源的重要應用程式和商務流程時，就需要監視並取得系統的警示。 Azure 監視器服務會從您系統的每個元件收集及彙總計量和記錄。 Azure 監視器讓您能夠檢視可用性、效能及復原能力，並在發生問題時通知您。 您可以使用 Azure 入口網站、PowerShell、Azure CLI、REST API 或用戶端程式庫來設定及檢視監視資料。

• 如需 Azure 監視器的詳細資訊，請參閱 Azure 監視器概觀。
• 如需如何一般監視 Azure 資源的詳細資訊，請參閱 使用 Azure 監視器監視 Azure 資源。

深入解析

Azure 中的某些服務在 Azure 入口網站中有內建的監視儀表板，可提供監視服務的起點。 這些儀錶板稱為 深入解析，您可以在 Azure 入口網站的 Azure 監視器的 深入解析中樞 中找到它們。

Key Vault 深入解析可針對您的 Key Vault 要求、效能、失敗和延遲提供統合檢視，讓您能夠全面監視金鑰保存庫。 如需完整詳細數據，請參閱 使用 Key Vault 深入解析監視密鑰保存庫服務。

Azure 入口網站中的 [監視] 概觀頁面

每個金鑰保存庫在 Azure 入口網站中的 [概觀] 頁面會在 [監視] 索引標籤上包含下列計量：

• 總要求數
• 平均延遲
• 成功率

您可以選取 [其他計量] 或 [監視] 底下左側提要欄位中的 [計量] 索引標籤，以檢視以下計量：

• 整體服務 API 延遲
• 整體保存庫可用性
• 整體保存庫飽和度
• 服務 API 點擊次數總計
• 服務 API 結果總計

資源類型

Azure 會使用資源類型和識別碼的概念來識別訂用帳戶中的所有內容。 資源類型也是 Azure 中所執行每個資源的資源識別碼組成部分。 例如，虛擬機器的一種資源類型是 Microsoft.Compute/virtualMachines。 如需服務及其相關聯資源類型的清單，請參閱 資源提供者。

Azure 監視器同樣會將核心監視數據組織成以資源類型為基礎的計量和記錄，也稱為 命名空間。 不同的計量和記錄適用於不同的資源類型。 您的服務可能會與多個資源類型相關聯。

如需 Key Vault 資源類型的詳細資訊，請參閱 Azure Key Vault 監視數據參考。

資料存放區

對於 Azure 監視器：

• 計量資料會儲存在 Azure 監視器計量資料庫中。
• 記錄資料會儲存在 Azure 監視器記錄存放區中。 Log Analytics 是可查詢此存放區的 Azure 入口網站工具。
• Azure 活動記錄是個單獨存放區，其介面位於 Azure 入口網站。

您可選擇性地將計量和活動記錄資料路由傳送至 Azure 監視器記錄存放區。 然後，可以使用 Log Analytics 來查詢資料，並將其與其他記錄資料相互關聯。

許多服務可以使用診斷設定，將計量和記錄資料傳送至 Azure 監視器以外的其他儲存位置。 範例包括使用 Event Hubs 的 Azure 儲存體、託管的合作夥伴系統和非 Azure 合作夥伴系統。

如需 Azure 監視器如何儲存資料的詳細資訊，請參閱 Azure 監視器數據平臺。

收集和路由傳送

系統會自動收集和儲存平台計量和活動記錄，但是可以使用診斷設定將資料路由傳送至其他位置。

在您建立診斷設定並將其路由至一個或多個位置之前，不會收集並儲存資源記錄。

如需使用 Azure 入口網站、CLI 或 PowerShell 建立診斷設定的詳細程式，請參閱 建立診斷設定以收集 Azure 中的平台記錄和計量 。 在建立診斷設定時，您可以指定要收集的記錄類別。 Key Vault 的類別列在 Key Vault 監視數據參考中。

若要為您的金鑰保存庫建立診斷設定，請參閱 啟用 Key Vault 記錄。 下列各節將討論您可以收集的計量和記錄。

Azure 監視器平台計量

Azure 監視器為大多數服務提供平台計量。 這些計量包括：

• 針對每個命名空間個別定義。
• 儲存在 Azure 監視器時間序列計量資料庫中。
• 輕量且能支援近即時警示。
• 用來追蹤資源效能的長期變化。

收集： Azure 監視器會自動收集平臺計量。 不需要組態。

路由： 您也可以將某些平台度量路由傳送至 Azure 監視器日誌/Log Analytics，以便將它們與其他日誌數據一起進行查詢。 檢查每個度量的 DS 匯出 設定，以查看您是否可以使用診斷設定將度量導向至 Azure 監控記錄 / Log Analytics。

• 如需詳細資訊，請參閱 計量診斷設定。
• 若要設定服務的診斷設定，請參閱 在 Azure 監視器中建立診斷設定。

如需 Azure 監視器中所有資源可能收集的所有計量清單，請參閱 Azure 監視器中支援的計量。

可開啟 [Azure 監視器] 功能表的 [計量]，使用計量瀏覽器以其他 Azure 服務提供的計量來分析 Key Vault 的計量。 如需使用此工具的詳細資訊，請參閱 使用 Azure 監視器計量總管分析計量 。

如需 Key Vault 可用計量的清單，請參閱 Azure Key Vault 監視數據參考。

Azure 監視器資源記錄

資源記錄提供對 Azure 資源所完成作業的深入解析。 系統會自動產生記錄，但您必須將其路由傳送至 Azure 監視器記錄，才能儲存或查詢這些記錄。 按類別組織記錄。 指定的命名空間可能會有多個資源記錄類別。

收集： 在您建立 診斷設定 並將記錄路由傳送至一或多個位置之前，不會收集並儲存資源記錄。 在建立診斷設定時，您可以指定要收集的記錄類別。 有多種方式可以建立和維護診斷設定，包括透過 Azure 入口網站、程式設計方式，以及 Azure 原則。

路由： 建議的預設值是將資源記錄路由至 Azure 監視器記錄，以便使用其他日誌資料來查詢它們。 您也可以使用其他位置，例如 Azure 儲存體、Azure 事件中樞及特定 Microsoft 監視合作夥伴。 如需詳細資訊，請參閱 Azure 資源記錄 和資源 記錄目的地。

如需收集、儲存和路由資源記錄的詳細資訊，請參閱 Azure 監視器中的診斷設定。

如需 Azure 監視器中所有可用資源記錄類別的清單，請參閱 Azure 監視器中支援的資源記錄。

Azure 監視器中的所有資源記錄都有相同的標頭欄位，後面接著服務特定的欄位。 通用架構概述於 Azure 監視器資源記錄架構中。

如需可用的資源記錄類別、其相關聯的Log Analytics資料表，以及Key Vault的記錄架構，請參閱 Azure Key Vault 監視數據參考。

Azure 活動記錄 (部分機器翻譯)

活動記錄包含訂用帳戶層級事件，用於追蹤每個 Azure 資源外部可見的作業；例如，建立新的資源或啟動虛擬機器。

收集： 活動記錄事件會自動在個別存放區中產生並收集，以供在 Azure 入口網站中檢視。

路由： 您可以將活動記錄數據傳送至 Azure 監視器記錄，以便與其他記錄數據一起分析。 您也可以使用其他位置，例如 Azure 儲存體、Azure 事件中樞及特定 Microsoft 監視合作夥伴。 如需如何路由活動記錄的詳細資訊，請參閱 Azure 活動記錄的概觀。

分析記錄

Azure 監視器記錄中的資料會儲存在資料表中，其中每個資料表都有一組專屬的唯一屬性。

Azure 監視器中的所有資源記錄都有相同的欄位，後面接著服務特定的欄位。 Azure 監視器資源記錄架構中概述通用架構

活動記錄是 Azure 的平台記錄類型，可提供訂用帳戶層級事件的深入解析。 您可以獨立檢視活動記錄，或將記錄路由至 Azure 監視器記錄，以便使用 Log Analytics 處理更為複雜的查詢作業。

如需針對 Key Vault 收集的資源記錄類型清單，請參閱 監視 Key Vault 資料參考

如需 Azure 監視器記錄和 Log Analytics 可查詢的數據表清單，請參閱 監視 Key Vault 資料參考

分析監視資料

有許多工具可用來分析監視資料。

Azure 監視器工具

Azure 監視器支援下列基本工具：

• 計量總管，這是 Azure 入口網站中的工具，可讓您檢視和分析 Azure 資源的計量。 如需詳細資訊，請參閱 使用 Azure 監視器指標檢視器分析計量。

• Log Analytics 是 Azure 入口網站中的工具，可讓您使用 Kusto 查詢語言 （KQL） 來查詢和分析記錄數據。 如需詳細資訊，請參閱 開始使用 Azure 監視器中的記錄查詢。

• 活動記錄檔，其具有 Azure 入口網站中用於檢視和基本搜尋的使用者介面。 若要進行更深入的分析，您必須將資料路由傳送至 Azure 監視器記錄，並在 Log Analytics 中執行更複雜的查詢。

支援更複雜視覺效果的工具包括：

• 儀錶板 可讓您在 Azure 入口網站中將不同類型的數據合併成單一窗格。
• 活頁簿，您可以在 Azure 入口網站中建立的可自定義報表。 活頁簿可以包含文字、計量及記錄查詢。
• Grafana，這是在運作儀表板中表現出色的開放平台工具。 您可以使用 Grafana 來建立儀表板，納入 Azure 監視器以外多個來源的資料。
• Power BI 是一項商務分析服務，可在各種數據源之間提供互動式視覺效果。 你可以將 Power BI 設定為自動從 Azure 監視器匯入記錄資料，以利用這些視覺效果。

Azure 監視器匯出工具

您可以使用下列方法將資料從 Azure 監視器中提取至其他工具：

• 指標： 針對 計量使用 REST API ，從 Azure 監視器計量資料庫擷取計量數據。 此 API 支援使用篩選條件運算式來縮小擷取的資料範圍。 如需詳細資訊，請參閱 Azure 監視器 REST API 參考。

• 日誌： 使用 REST API 或 相關的客戶端程式庫。

• 另一個選項是 工作區數據匯出。

若要開始使用適用於 Azure 監視器的 REST API，請參閱 Azure 監視 REST API 逐步解說。

Kusto 查詢

您可以使用 Kusto 查詢語言 (KQL) 分析 Azure 監視器記錄/Log Analytics 存放區中的監視資料。

重要

當您從入口網站的服務功能表中選取 [記錄] 時，Log Analytics 會隨即開啟，並將查詢範圍設定為目前的服務。 此範圍表示記錄查詢只會包含該資源類型的資料。 如果您想要執行包含其他 Azure 服務資料的查詢，請從 [Azure 監視器] 功能表中選取 [記錄]。 如需詳細資訊，請參閱 Azure 監視器 Log Analytics 中的記錄查詢範圍和時間範圍 。

如需任何服務的常見查詢清單，請參閱 Log Analytics查詢介面。

以下是一些您可以在 [記錄搜尋] 列中輸入以利監視 Key Vault 資源的查詢。 這些查詢會使用 新語言。

• 是否有任何用戶端使用舊版 TLS (<1.2)？

  AzureDiagnostics
  | where TimeGenerated > ago(90d) 
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0
  | project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s)
  | sort by TimeGenerated desc
  

• 是否有任何緩慢的要求？

  // List of KeyVault requests that took longer than 1sec. 
  // To create an alert for this query, click '+ New alert rule'
  let threshold=1000; // let operator defines a constant that can be further used in the query
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where DurationMs > threshold
  | summarize count() by OperationName, _ResourceId
  

• 是否有任何失敗？

  // Count of failed KeyVault requests by status code. 
  // To create an alert for this query, click '+ New alert rule'
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
  | summarize count() by requestUri_s, ResultSignature, _ResourceId
  // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
  // httpStatusCode_d contains HTTP status code returned
  

• 是否有任何輸入還原序列化錯誤？

  // Shows errors caused due to malformed events that could not be deserialized by the job. 
  // To create an alert for this query, click '+ New alert rule'
  
  AzureDiagnostics
  | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType")
  | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
  

• 這個 KeyVault 有多活躍？

  // Line chart showing trend of KeyVault requests volume, per operation over time. 
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
  | render timechart
  
  

• 誰在呼叫此 KeyVault？

  // List of callers identified by their IP address with their request count.  
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT"
  | summarize count() by CallerIPAddress
  

• 這個 KeyVault 對要求提供服務的速度有多快？

  // Line chart showing trend of request duration over time using different aggregations. 
  
  AzureDiagnostics
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
  | render timechart
  

• 上個月發生了哪些變更？

  // Lists all update and patch requests from the last 30 days. 
  // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
  // Filter on ResourceProvider for logs specific to a service.
  
  AzureDiagnostics
  | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal.
  | where ResourceProvider =="MICROSOFT.KEYVAULT" 
  | where OperationName == "VaultPut" or OperationName == "VaultPatch"
  | sort by TimeGenerated desc
  

警示

在監視資料中發現特定狀況時，Azure 監視器警示會主動通知您。 警示可讓您在客戶發現系統發生問題前，就先及早識別和解決問題。 如需詳細資訊，請參閱 Azure 監視器警示。

Azure 資源的常見警示有許多來源。 如需 Azure 資源的常見警示範例，請參閱 記錄警示查詢範例。 Azure 監視器基準警示 （AMBA） 網站提供半自動化方法來實作重要的平臺計量警示、儀錶板和指導方針。 此網站適用於持續擴充的 Azure 服務子集，包括屬於 Azure 登陸區域 (ALZ) 的所有服務。

常見的警示結構描述會將 Azure 監視器警示通知的使用量標準化。 如需詳細資訊，請參閱 常見警示架構。

警示類型

您可以針對在 Azure 監視器資料平台中的任何計量或記錄資料來源發出警示。 警示有許多不同的類型，具體取決於您監視的服務以及所收集的監視資料。 不同類型的警示各有優缺點。 如需詳細資訊，請參閱 選擇正確的監視警示類型。

下列清單介紹可建立的 Azure 監視器警示類型：

• 計量警示 會定期評估資源計量。 這些計量可以是平台計量、自訂計量、Azure 監視器轉換成計量的記錄，或 Application Insights 計量。 計量警示還可以套用多個條件和動態閾值。
• 記錄警示 可讓使用者使用Log Analytics查詢，以預先定義的頻率評估資源記錄。
• 當發生符合已定義條件的新活動記錄事件時，就會觸發活動記錄警示。 資源健康狀態警示和服務健康情況警示是報告服務和資源健康狀態的活動記錄警示。

某些 Azure 服務也支援 智慧偵測警示、 Prometheus 警示或 建議的警示規則。

對於某些服務，若要進行大規模監控，您可以將同一計量警示規則套用至相同 Azure 區域中存在的多個同類型資源。 系統會針對每個受監視的資源傳送個別通知。 如需支援的 Azure 服務和雲端，請參閱 使用一個警示規則監視多個資源。

注意

如果您在您的服務上建立或執行應用程式，Azure 監控應用程式檢視 可能會提供更多類型的警示。

Key Vault 警示規則

下列清單包含 Key Vault 的一些建議警示規則。 這些警示只是範例。 您可以針對 Azure Key Vault 監視資料參考中列出的任何度量、日誌項目或活動日誌項目設定警示。

• Key Vault 可用性降到低於 100% (靜態閾值)
• Key Vault 延遲大於 1000 毫秒 (靜態閾值)
• 整體保存庫飽和度大於 75% (靜態閾值)
• 整體保存庫飽和度超過平均值 (動態閾值)
• 錯誤碼總數高於平均值 (動態閾值)

如需詳細資訊，請參閱 Azure Key Vault 的警示。

Advisor 建議

對於一些服務，如果在資源作業期間發生重大狀況或有即將到來的變更，入口網站的服務 [概觀] 頁面上會顯示警示。 您可以在左側功能表中 [監視] 底下的 [Advisor 建議] 中找到警示的詳細資訊和建議的修正。 在正常作業期間，不會顯示 Advisor 建議。

如需 Azure Advisor 的詳細資訊，請參閱 Azure Advisor 概觀。

相關內容

• 如需針對 Key Vault 建立的計量、記錄和其他重要值的參考，請參閱 Azure Key Vault 監視數據參考 。
• 如需監視 Azure 資源的一般詳細數據，請參閱 使用 Azure 監視器監視 Azure 資源。