Udostępnij przez

Konfigurowanie alertów usługi Azure Key Vault

Po rozpoczęciu korzystania z usługi Azure Key Vault do przechowywania tajemnic produkcyjnych, należy monitorować stan zdrowia magazynu kluczy, aby upewnić się, że usługa działa prawidłowo.

Gdy zaczniesz skalować usługę, liczba żądań wysyłanych do magazynu kluczy wzrośnie. Ten wzrost może zwiększyć opóźnienie twoich żądań. W skrajnych przypadkach może to spowodować ograniczenie żądań i wpłynąć na wydajność usługi. Musisz również wiedzieć, czy magazyn kluczy wysyła nietypową liczbę kodów błędów, dzięki czemu możesz szybko obsłużyć wszelkie problemy z zasadami dostępu lub konfiguracją zapory.

W tym artykule pokazano, jak skonfigurować alerty z określonymi progami, aby umożliwić zespołowi natychmiastowe podjęcie działań, jeśli magazyn kluczy jest w złej kondycji. Możesz skonfigurować alerty, które wysyłają wiadomość e-mail (najlepiej do listy dystrybucyjnej zespołu), uruchamiają powiadomienie usługi Azure Event Grid, dzwonią lub wysyłają wiadomość SMS na numer telefonu.

Można wybrać między tymi typami alertów:

  • Alert statyczny oparty na stałej wartości
  • Alert dynamiczny, który powiadomi Cię, jeśli monitorowana metryka przekroczy przeciętny limit skarbca kluczy określoną liczbę razy w zdefiniowanym zakresie czasu.

Ważne

Rozpoczęcie wysyłania powiadomień z nowo skonfigurowanych alertów może potrwać do 10 minut.

Ten artykuł koncentruje się na alertach dotyczących usługi Key Vault. Aby uzyskać informacje o szczegółowych informacjach usługi Key Vault, które łączą dzienniki i metryki w celu zapewnienia rozwiązania do monitorowania globalnego, zobacz Monitorowanie magazynu kluczy za pomocą szczegółowych informacji usługi Key Vault.

Konfigurowanie grupy akcji

Grupa akcji to konfigurowalna lista powiadomień i właściwości. Pierwszym krokiem konfigurowania alertów jest utworzenie grupy akcji i wybranie typu alertu:

  1. Zaloguj się do witryny Azure Portal.

  2. Wyszukaj pozycję Alerty w polu wyszukiwania.

  3. Wybierz pozycję Zarządzaj akcjami.

    Zrzut ekranu przedstawiający przycisk Zarządzaj akcjami.

  4. Wybierz + Dodaj grupę akcji.

    Zrzut ekranu przedstawiający przycisk dodawania grupy akcji.

  5. Wybierz wartość Typ akcji dla grupy akcji. W tym przykładzie utworzymy wiadomość e-mail i alert SMS. Wybierz adres e-mail/wiadomość SMS/wypychanie/głosowa.

    Zrzut ekranu przedstawiający wybrane opcje dodawania grupy akcji.

  6. W oknie dialogowym wprowadź szczegóły poczty e-mail i wiadomości SMS, a następnie wybierz przycisk OK.

    Zrzut ekranu przedstawiający opcje dodawania wiadomości e-mail i alertu wiadomości S M S.

Konfigurowanie progów alertów

Następnie utwórz regułę i skonfiguruj progi, które będą wyzwalać alert:

  1. Wybierz zasób magazynu kluczy w witrynie Azure Portal, a następnie wybierz pozycję Alerty w obszarze Monitorowanie.

    Zrzut ekranu przedstawiający opcję menu Alerty w sekcji Monitorowanie.

  2. Wybierz przycisk Nowa reguła alertu.

    Zrzut ekranu przedstawiający przycisk dodawania nowej reguły alertu.

  3. Wybierz zakres reguły alertu. Możesz wybrać jedną skrytkę lub wiele skrytek.

    Ważne

    Kiedy wybierasz wiele sejfów dla obszaru alertów, wszystkie wybrane sejfy muszą znajdować się w tym samym regionie. Musisz skonfigurować oddzielne reguły alertów dla magazynów w różnych regionach.

    Zrzut ekranu pokazujący, jak można wybrać skarbiec.

  4. Wybierz progi, które definiują logikę alertów, a następnie wybierz pozycję Dodaj. Zespół usługi Key Vault zaleca skonfigurowanie następujących progów dla większości aplikacji, ale można je dostosować w zależności od potrzeb aplikacji:

    • Dostępność usługi Key Vault spada poniżej 100 procent (próg statyczny)

    Ważne

    Obecnie ten alert niepoprawnie obejmuje długotrwałe operacje i zgłasza je jako niedostępną usługę. Możesz monitorować dzienniki usługi Key Vault, aby sprawdzić, czy operacje kończą się niepowodzeniem z powodu niedostępności usługi zamiast innych przyczyn.

    • Opóźnienie usługi Key Vault jest większe niż 1000 ms (próg statyczny)

    Uwaga / Notatka

    Celem progu 1000 ms jest powiadomienie, że usługa Key Vault w tym regionie ma obciążenie wyższe niż średnia. Nasza umowa SLA dotycząca operacji Key Vault jest kilkukrotnie wyższa, zobacz Umowę dotyczącą poziomu usług dla usług online dla aktualnej umowy SLA. Aby otrzymywać alerty, gdy operacje usługi Key Vault są poza umową SLA, użyj progów z dokumentów UMOWY SLA.

    • Ogólne nasycenie magazynu jest większe niż 75 procent (próg statyczny)
    • Ogólne nasycenie magazynu przekracza średnią (próg dynamiczny)
    • Łączne kody błędów są wyższe niż średnie (próg dynamiczny)

    Zrzut ekranu przedstawiający sposób wybierania warunków alertów.

Przykład: Konfigurowanie statycznego progu alertu pod kątem opóźnienia

  1. Wybierz pozycję Ogólne opóźnienie interfejsu API usługi jako nazwę sygnału.

    Zrzut ekranu przedstawiający wybieranie nazwy sygnału.

  2. Użyj następujących parametrów konfiguracji:

    • Ustaw wartość Próg na Statyczny.
    • Ustaw wartość Operator na Większe niż.
    • Ustaw wartość Typ agregacji na Wartość Średnia.
    • Ustaw wartość progu na 1000.
    • Ustaw stopień szczegółowości agregacji (okres) na 5 minut.
    • Ustaw częstotliwość oceny na co 1 minutę.

    Zrzut ekranu przedstawiający skonfigurowaną logikę dla progu alertu statycznego.

  3. Wybierz pozycję Gotowe.

Przykład: Konfigurowanie dynamicznego progu alertu pod kątem nasycenia magazynu

Gdy używasz alertu dynamicznego, zobaczysz dane historyczne wybranego magazynu kluczy. Niebieski obszar reprezentuje średnie użycie magazynu kluczy. Czerwony obszar pokazuje skoki, które wyzwoliłyby alert, jeśli zostały spełnione inne kryteria w konfiguracji alertu. Czerwone kropki pokazują wystąpienia naruszeń, w których kryteria alertu zostały spełnione w zagregowanym przedziale czasu.

Zrzut ekranu przedstawiający wykres nasycenia ogólnego magazynu.

Alert można ustawić tak, aby został wyzwolony po określonej liczbie naruszeń w określonym czasie. Jeśli nie chcesz dołączać poprzednich danych, istnieje opcja wykluczenia jej w ustawieniach zaawansowanych.

  1. Użyj następujących parametrów konfiguracji:

    • Ustaw Nazwa wymiaru na Typ transakcji i Wartość wymiaru na vaultoperation.
    • Ustaw wartość Próg na Wartość Dynamiczna.
    • Ustaw Operator na większy niż.
    • Ustaw Typ agregacji na Średnia.
    • Ustaw wartość Czułość progowa na średni.
    • Ustaw stopień szczegółowości agregacji (okres) na 5 minut.
    • Ustaw częstotliwość oceny na co 5 minut.
    • Skonfiguruj ustawienia zaawansowane (opcjonalnie).

    Zrzut ekranu przedstawiający skonfigurowaną logikę dla progu alertu dynamicznego.

  2. Wybierz pozycję Gotowe.

  3. Wybierz pozycję Dodaj , aby dodać skonfigurowaną grupę akcji.

    Zrzut ekranu przedstawiający przycisk dodawania grupy akcji.

  4. W szczegółach alertu włącz alert i przypisz ważność.

    Zrzut ekranu pokazujący, gdzie włączyć alert i przypisać poziom ważności.

  5. Utwórz alert.

Przykładowy alert e-mail

Jeśli wykonano wszystkie powyższe kroki, otrzymasz alerty e-mail, gdy magazyn kluczy spełnia skonfigurowane kryteria alertu. Poniższy alert e-mail jest przykładem.

Zrzut ekranu przedstawiający informacje potrzebne do skonfigurowania alertu e-mail.

Przykład: Alert dotyczący zapytań z rejestru dla certyfikatów bliskich wygaśnięciu

Możesz ustawić alert, aby powiadomić Cię o certyfikatach, które wkrótce wygasną.

Uwaga / Notatka

Zdarzenia bliskiego wygaśnięcia certyfikatów są rejestrowane przez 30 dni przed wygaśnięciem.

  1. Przejdź do obszaru Dzienniki i wklej poniższe zapytanie w oknie zapytania

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Wybierz pozycję Nowa reguła alertu

    Zrzut ekranu przedstawiający okno zapytania z wybraną nową regułą alertu.

  3. Na karcie Warunek użyj następującej konfiguracji:

    • W sekcji Miara ustaw ziarnistość agregacji na 1 dzień
    • W obszarze Podział według wymiarów ustaw kolumnę Identyfikator zasobu na ResourceId.
    • Ustaw CertName i DayTillExpire jako wymiary.
    • W Logika alertu ustaw Próg wartości na 0 i częstotliwość oceny na 1 dzień.

    Zrzut ekranu przedstawiający konfigurację warunku alertu.

  4. Na karcie Akcje skonfiguruj alert w celu wysłania wiadomości e-mail

    1. Wybierz utwórz grupę akcji

      Zrzut ekranu przedstawiający sposób tworzenia grupy akcji.

    2. Konfiguruj utwórz grupę akcji

      Zrzut ekranu przedstawiający sposób konfigurowania grupy akcji.

    3. Konfigurowanie powiadomień w celu wysłania wiadomości e-mail

      Zrzut ekranu przedstawiający sposób konfigurowania powiadomień.

    4. Konfigurowanie szczegółów wyzwalania alertu ostrzegawczego

      Zrzut ekranu przedstawiający sposób konfigurowania szczegółów powiadomień.

    5. Wybierz Przejrzyj i utwórz

Dalsze kroki

Użyj narzędzi skonfigurowanych w tym artykule, aby aktywnie monitorować stan Twojego magazynu kluczy.

  • Last updated on