Überwachung und Warnungen für Azure Key VaultMonitoring and alerting for Azure Key Vault

ÜbersichtOverview

Sobald Sie damit begonnen haben, Ihre Produktionsgeheimnisse im Schlüsseltresor zu speichern, sollten Sie durch eine Überwachung der Integrität Ihres Schlüsseltresors sicherstellen, dass Ihr Dienst wie vorgesehen funktioniert.Once you have started to use key vault to store your production secrets, it is important to monitor the health of your key vault to make sure your service operates as intended. Wenn Sie Ihren Dienst skalieren, steigt die Anzahl von Anforderungen, die an Ihren Schlüsseltresor gesendet werden.As you start to scale your service the number of requests sent to your key vault will rise. Dies kann die Latenzzeit Ihrer Anforderungen erhöhen und in extremen Fällen zu einer Drosselung Ihrer Anforderungen führen – was sich auf die Leistung Ihres Diensts auswirkt.This has a potential to increase the latency of your requests and in extreme cases, cause your requests to be throttled which will impact the performance of your service. Sie müssen außerdem benachrichtigt werden, wenn Ihr Schlüsseltresor eine ungewöhnliche Anzahl von Fehlercodes sendet, damit Sie bei Problemen mit Zugriffsrichtlinien oder Firewallkonfiguration schnell handeln können.You also need to be alerted if your key vault is sending an unusual number of error codes, so you can be quickly notified of any access policy or firewall configuration issues. In diesem Dokument werden die folgenden Themen behandelt:This document will cover the following topics:

  • Grundlegende Key Vault-Metriken für die ÜberwachungBasic Key Vault metrics to monitor
  • Konfigurieren von Metriken und Erstellen eines DashboardsHow to configure metrics and create a dashboard
  • Erstellen von Warnungen bei angegebenen SchwellenwertenHow to create alerts at specified thresholds

Von Azure Monitor für Key Vault werden Protokolle mit Metriken kombiniert, um eine globale Überwachungslösung bereitzustellen.Azure Monitor for Key Vault combines both logs and metrics to provide a global monitoring solution. Erfahren Sie hier mehr über Azure Monitor für den SchlüsseltresorLearn more about Azure Monitor for Key Vault here

Grundlegende Key Vault-Metriken für die ÜberwachungBasic Key Vault metrics to monitor

  • TresorverfügbarkeitVault Availability
  • TresorauslastungVault Saturation
  • Wartezeit für Dienst-APIService API Latency
  • Dienst-API-Treffer gesamt (Filter nach Aktivitätstyp)Total Service API Hits (Filter by Activity Type)
  • Fehlercodes (Filter nach Statuscode)Error Codes (Filter by Status Code)

Tresorverfügbarkeit: Diese Metrik sollte immer bei 100 % liegen. Es ist wichtig, diese Metrik zu überwachen, da sie schnell Aufschluss darüber gibt, ob Ihr Schlüsseltresor ausgefallen ist.Vault Availability - This metric should always be at 100% this is an important metric to monitor, since it can quickly show you if your key vault experienced an outage.

Tresorauslastung: Die Anzahl von Anforderungen pro Sekunde, die ein Schlüsseltresor verarbeiten kann, basiert auf der Art des ausgeführten Vorgangs.Vault Saturation – The number of requests per second that a key vault can serve is based on the type of operation being performed. Für einige Tresorvorgänge gilt ein niedrigerer Schwellenwert für die Anforderungen pro Sekunde.Some vault operations have a lower requests-per-second threshold. Diese Metrik aggregiert die Gesamtnutzung Ihres Schlüsseltresors für alle Vorgangstypen, um einen Prozentwert bereitzustellen, der die aktuelle Auslastung des Schlüsseltresors angibt.This metric aggregates the total usage of your key vault across all operation types to come up with a percentage value that indicates your current key vault usage. Eine vollständige Liste der Limits für den Key Vault-Dienst finden Sie im folgenden Dokument.For a full list of key vault service limits, see the following document. Grenzwerte des Azure Key Vault-DienstsAzure Key Vault Service Limits

Wartezeit für Dienst-API: Diese Metrik zeigt die durchschnittliche Latenz eines Aufrufs des Schlüsseltresors gemessen vom Dienst.Service API Latency - This metric shows the average latency of calls to key vault, measured at the service. Sie umfasst nicht die Zeit, die vom Client oder vom Netzwerk zwischen Client und Dienst verbraucht wird.It does not include time consumed by client or by the network between client and service.

API-Treffer gesamt: Diese Metrik zeigt alle Aufrufe an Ihren Schlüsseltresor.Total API Hits - This metric shows all of the calls made to your key vault. Anhand dieses Werts können Sie ermitteln, welche Anwendungen Ihren Schlüsseltresor aufrufen.This will help you identify which applications are calling your key vault.

Fehlercodes: Diese Metrik zeigt, ob für Ihren Schlüsseltresor eine ungewöhnliche Anzahl von Fehlern auftritt.Error Codes – This metric will show you if your key vault is experiencing an unusual amount of errors. Eine vollständige Liste der Fehlercodes und einen Leitfaden zur Problembehandlung finden Sie im folgenden Dokument.For a full list of error codes and troubleshooting guidance, see the following document. Azure Key Vault: REST-API-FehlercodesAzure Key Vault REST API Error Codes

Konfigurieren von Metriken und Erstellen eines DashboardsHow to configure metrics and create a dashboard

  1. Melden Sie sich beim Azure-Portal an.Login to the Azure portal
  2. Navigieren Sie zu Ihrem Schlüsseltresor.Navigate to your Key Vault
  3. Klicken Sie unter Überwachung auf Metriken.Select Metrics under Monitoring

Screenshot: Abschnitt „Überwachung“ mit hervorgehobener Option „Metriken“Screenshot that highlights the Metrics option under the Monitoring section.

  1. Aktualisieren Sie den Titel des Diagramms in den Namen, den Sie für Ihr Dashboard anzeigen möchten.Update the title of the chart to what you want to see on your dashboard.
  2. Wählen Sie den Bereich aus.Select the scope. In diesem Beispiel wählen wir einen einzelnen Schlüsseltresor aus.In this example we will select a single key vault.
  3. Wählen Sie die Metrik Tresorverfügbarkeit gesamt aus, und legen Sie als Aggregation Durchschnitt fest.Select the Metric Overall Vault Availability and Aggregation Avg
  4. Aktualisieren Sie den Zeitbereich auf „Letzte 24 Stunden“, und legen Sie die Granularität auf 1 Minute fest.Update the time range to the Last 24 Hours and update the time granularity to 1 minute.

Screenshot: Metrik „Tresorverfügbarkeit gesamt“Screenshot that shows the Overall Vault Availablility metric.

  1. Wiederholen Sie die Schritte oben für die Metriken „Tresorauslastung“ und „Wartezeit für Dienst-API“.Repeat the steps above for the Vault Saturation and Service API Latency metrics. Klicken Sie auf An Dashboard anheften, um Ihre Metriken in einem Dashboard zu speichern.Select Pin to Dashboard to save your metrics into a dashboard.

Wichtig

Auswählen von „An Dashboard anheften“ und Speichern der konfigurierten MetrikenSelect "Pin to Dashboard" and save every metric you configure. Wenn Sie die Seite verlassen und ohne Speicherung zur Seite zurückkehren, gehen Ihre Konfigurationsänderungen verloren.If you leave the page and return to it without saving, your configuration changes will be lost.

  1. Um alle Vorgangstypen für den Schlüsseltresor zu überwachen, verwenden Sie die Metrik Dienst-API-Treffer gesamt, und wählen Sie Teilung anwenden: nach Aktivitätstyp aus.To monitor all of the types of operations on the key vault, use the Total Service API Hits Metric, and Select Apply Splitting by Activity Type

Screenshot: Schaltfläche „Teilung anwenden“Screenshot that shows the Apply Splitting button.

  1. Um auf Fehlercodes für den Schlüsseltresor zu überwachen, verwenden Sie die Metrik Dienst-API-Ergebnisse gesamt, und wählen Sie Teilung anwenden: nach Aktivitätstyp aus.To monitor for error codes on the key vault, use the Total Service API Results Metric, and Select Apply Splitting by Activity Type

Screenshot: Ausgewählte Metrik „Dienst-API-Ergebnisse gesamt“Screenshot that shows the selected Total Service API Results metric.

Jetzt sieht Ihr Dashboard wie dieses aus.Now you will have a dashboard that looks like this. Sie können auf die 3 Punkte oben rechts neben jeder Kachel klicken und die Kacheln nach Bedarf neu anordnen und ihre Größe ändern.You can click the 3 dots on the top right of each tile and you can rearrange and resize the tiles as you need.

Nachdem Sie das Dashboard gespeichert und veröffentlicht haben, wird eine neue Ressource in Ihrem Azure-Abonnement erstellt.Once you save and publish the dashboard, it will create a new resource in your Azure subscription. Sie können diese jederzeit anzeigen, indem Sie nach „freigegebenes Dashboard“ suchen.You will be able to see it at anytime by searching for "shared dashboard".

Screenshot: Veröffentlichtes DashboardScreenshot that shows the published dashboard.

Konfigurieren von Warnungen für Ihren SchlüsseltresorHow to configure alerts on your Key Vault

In diesem Abschnitt wird gezeigt, wie Sie Warnungen für Ihren Schlüsseltresor konfigurieren, damit Ihr Team sofort benachrichtigt wird, wenn sich Ihr Schlüsseltresor in einem fehlerhaften Zustand befindet.This section will show you how to configure alerts on your key vault so you can alert your team to take action immediately if your key vault is in an unhealthy state. Sie können Warnungen konfigurieren, mit denen eine E-Mail gesendet (vorzugsweise an eine Verteilerliste für ein Team), eine Event Grid-Benachrichtigung ausgelöst, eine Telefonnummer angerufen oder eine SMS gesendet wird.You can configure alerts that send an email, preferably to a team DL, fire an event grid notification, or call or text a phone number. Es ist auch möglich, statische Warnungen basierend auf einem festen Wert auszuwählen oder dynamische Warnungen zu konfigurieren, die Sie benachrichtigen, wenn für eine überwachte Metrik der Durchschnittsgrenzwert für Ihren Schlüsseltresor innerhalb eines definierten Zeitraums mit einer festgelegten Häufigkeit überschritten wird.You can also choose static alerts based on a fixed value, or a dynamic alert that will alert you if a monitored metric exceeds the average limit of your key vault a certain number of times within a defined time range.

Wichtig

Beachten Sie, dass es bis zu 10 Minuten dauern kann, bis neu konfigurierte Warnungen damit beginnen, Benachrichtigungen zu versenden.Please note it can take up to 10 minutes for newly configured alerts to start sending notifications.

Konfigurieren einer AktionsgruppeConfigure an action group

Eine Aktionsgruppe ist eine konfigurierbare Liste mit Benachrichtigungen und Eigenschaften.An action group is a configurable list of notifications and properties.

  1. Melden Sie sich beim Azure-Portal an.Login to the Azure portal
  2. Suchen Sie im Suchfeld nach Warnungen.Search for Alerts in the search box
  3. Wählen Sie Aktionen verwalten aus.Select Manage Actions

Screenshot: Hervorgehobene Schaltfläche „Aktionen verwalten“Screenshot that highlights the Manage Actions button.

  1. Klicken Sie auf + Aktionsgruppe hinzufügen.Select + Add Action Group

Screenshot: Hervorgehobene Schaltfläche „+ Aktionsgruppe hinzufügen“Screenshot that highlights the + Add Action Group button.

  1. Wählen Sie den Aktionstyp für Ihre Aktionsgruppe aus.Choose the Action Type for your Action Group. In diesem Beispiel erstellen wir eine neue E-Mail-Benachrichtigung.In this example, we will create an email alert.

Screenshot: Hervorgehobene Felder, die zum Hinzufügen einer Aktionsgruppe erforderlich sindScreenshot that highlights the fields necessary to add an action group.

Screenshot: Erforderliche Elemente zum Hinzufügen einer E-Mail- oder SMS-NachrichtenwarnungScreenshot that shows what is needed to add an email or SMS message alert.

  1. Klicken Sie unten auf der Seite auf OK.Click OK at the bottom of the page. Sie haben erfolgreich einen Aktionsgruppe erstellt.You have successfully created an action group.

Nun, da Sie eine Aktionsgruppe konfiguriert haben, konfigurieren wir die Warnungsschwellenwerte für den Schlüsseltresor.Now that you have configured an action group, we will configure the the key vault alert thresholds.

Konfigurieren von WarnungsschwellenwertenConfigure alert thresholds

  1. Wählen Sie Ihre Key Vault-Ressource im Azure-Portal aus, und klicken Sie unter Überwachung auf Warnungen.Select your key vault resource in the Azure portal and select Alerts under Monitoring

Screenshot: Abschnitt „Überwachung“ mit der Menüoption „Warnungen“Screenshot that shows the Alerts menu option under the Monitoring section.

  1. Wählen Sie Neue Warnungsregel aus.Select New Alert Rule

Screenshot: Schaltfläche „+ Neue Warnungsregel“Screenshot that shows the + New Alert Rule button.

  1. Legen Sie den Bereich für Ihre Warnungsregel fest.Select the scope of your alert rule. Sie können einen einzelnen Tresor oder mehrere Tresore auswählen.You can select a single vault or multiple.

Wichtig

Beachten Sie, dass sich bei Auswahl mehrerer Tresore als Bereich für Ihre Warnungen alle ausgewählten Tresore in derselben Region befinden müssen.Please note that when you are selecting multiple vaults for the scope of your alerts, all selected vaults must be in the same region. Sie müssen für Tresore in unterschiedlichen Regionen separate Warnungsregeln konfigurieren.You will have to configure separate alert rules for vaults in different regions.

Screenshot: Auswählen eines TresorsScreenshot that shows how you can select a vault.

  1. Wählen Sie die Bedingungen für Ihre Warnungen aus.Select the conditions for your alerts. Sie können beliebige der folgenden Signale auswählen und Ihre Warnungslogik definieren.You can choose any of the following signals and define your logic for alerting. Das Key Vault-Team empfiehlt eine Konfiguration der folgenden Warnungsschwellenwerte.The Key Vault team recommends configuring the following alerting thresholds.

    • Key Vault-Verfügbarkeit fällt unter 100 % (statischer Schwellenwert)Key Vault Availability drops below 100% (Static Threshold)
    • Key Vault-Wartezeit übersteigt 500 ms (statischer Schwellenwert)Key Vault Latency is greater than 500ms (Static Threshold)
    • „Tresorauslastung insgesamt“ übersteigt 75 % (statischer Schwellenwert)Overall Vault Saturation is greater than 75% (Static Threshold)
    • „Tresorauslastung insgesamt“ überschreitet den Durchschnitt (dynamischer Schwellenwert)Overall Vault Saturation exceeds average (Dynamic Threshold)
    • „Fehlercodes gesamt“ liegt über dem Durchschnitt (dynamischer Schwellenwert)Total Error Codes higher than average (Dynamic Threshold)

Screenshot: Auswählen von Bedingungen für WarnungenScreenshot that shows where you select conditions for alerts.

Beispiel 1: Konfigurieren eines statischen Warnungsschwellenwerts für die LatenzzeitExample 1: Configuring a static alert threshold for latency

Wählen Sie als Signalname Wartezeit für Dienst-API gesamt aus.Select Overall Service API Latency as the signal name

Screenshot: Signalname „Wartezeit für Dienst-API gesamt“Screenshot that shows the Overall Service API Latency signal name.

Beachten Sie die folgenden Konfigurationsparameter.Please see the following configuration parameters.

  • Legen Sie den Schwellenwert auf Statisch fest.Set the Threshold to Static
  • Legen Sie den Operator auf Größer als fest.Set the Operator to Greater Than
  • Legen Sie den Aggregationstyp auf Durchschnitt fest.Set the Aggregation Type to Average
  • Legen Sie den Wert des Schwellenwerts auf 500 fest.Set the Threshold Value to 500
  • Legen Sie den Aggregationszeitraum auf 5 Minuten fest.Set Aggregation Period to 5 minutes
  • Legen Sie die Auswertungshäufigkeit auf 1 Minute fest.Set the Evaluation Frequency to 1 minute
  • Wählen Sie Fertig aus.Select Done

Screenshot: Hervorgehobene konfigurierte WarnungslogikScreenshot that highlights the configured alert logic.

Beispiel 2: Konfigurieren eines dynamischen Warnungsschwellenwerts für die TresorauslastungExample 2: Configuring a dynamic alert threshold for vault saturation

Wenn Sie eine dynamische Warnung verwenden, können Sie historische Daten zum ausgewählten Schlüsseltresor anzeigen.When you use a dynamic alert, you will be able to see historical data of the key vault you have selected. Der blaue Bereich stellt die durchschnittliche Auslastung Ihres Schlüsseltresors dar.The blue area represents the average usage of your key vault. Der rote Bereich zeigt Spitzen, die zum Auslösen einer Warnung führen würden, wenn weitere Kriterien in der Warnungskonfiguration erfüllt sind.The red area shows spikes that would have triggered an alert provided other criteria in the alert configuration are met. Die roten Punkte zeigen Verstöße, bei denen die Kriterien für die Warnung innerhalb des aggregierten Zeitfensters erfüllt waren.The red dots show instances of violations where the criteria for the alert was met during the aggregated time window. Sie können eine Warnung so konfigurieren, dass sie nach einer bestimmten Anzahl von Verstößen innerhalb eines festgelegten Zeitraums ausgelöst wird.You can set an alert to fire after a certain number of violations within a set time. Wenn Sie vorherige Daten nicht einbeziehen möchten, können Sie alte Daten über eine Option in den erweiterten Einstellungen ausschließen.If you don't want to include past data, there is an option to exclude old data below in advanced settings.

Screenshot: Graph der GesamttresorauslastungScreenshot that shows a graph of the overall vault saturation.

Beachten Sie die folgenden Konfigurationsparameter.Please see the following configuration parameters.

  • Legen Sie den Schwellenwert auf Dynamisch fest.Set the Threshold to Dynamic
  • Legen Sie den Operator auf Größer als fest.Set the Operator to Greater Than
  • Legen Sie den Aggregationstyp auf Durchschnitt fest.Set the Aggregation Type to Average
  • Legen Sie die Schwellenwertempfindlichkeit auf Mittel fest.Set the Threshold Sensitivity to Medium
  • Legen Sie den Aggregationszeitraum auf 5 Minuten fest.Set Aggregation Period to 5 minutes
  • Legen Sie die Auswertungshäufigkeit auf 1 Minute fest.Set the Evaluation Frequency to 1 minute
  • Optional: Konfigurieren Sie erweiterte Einstellungen.Optional Configure Advanced Settings
  • Wählen Sie Fertig aus.Select Done

Screenshot des Azure-PortalsScreenshot of Azure portal

  1. Hinzufügen der erstellten AktionsgruppeAdd the action group that you have configured

Screenshot: Hinzufügen einer AktionsgruppeScreenshot that shows how to add an action group.

  1. Aktivieren der Warnung und Zuweisen eines SchweregradsEnable the alert and assign a severity

Screenshot: Aktivieren der Warnung und Zuweisen eines SchweregradsScreenshot that shows where to enable the alert and assign a severity.

  1. Erstellen der WarnungCreate the alert

Beispiel-E-Mail-WarnungExample email alert

Screenshot: Hervorgehobene Informationen, die zum Konfigurieren einer E-Mail-Warnung erforderlich sindScreenshot that highlights the information needed to configure an email alert.

Nächste SchritteNext steps

Glückwunsch! Sie haben erfolgreich ein Überwachungsdashboard erstellt und Warnungen für Ihren Schlüsseltresor konfiguriert!Congratulations, you have now successfully created a monitoring dashboard and configured alerts for your key vault! Nachdem Sie alle oben aufgeführten Schritte ausgeführt haben, sollten Sie jetzt E-Mail-Benachrichtigungen erhalten, wenn Ihr Schlüsseltresor die konfigurierten Warnungskriterien erfüllt.Once you have followed all of the steps above, you should receive email alerts when your key vault meets the alert criteria you configured. Ein entsprechendes Beispiel ist nachfolgend dargestellt.An example is shown below. Verwenden Sie die in diesem Artikel eingerichteten Tools, um die Integrität Ihres Schlüsseltresors zu überwachen.Use the tools you have set up in this article to actively monitor the health of your key vault.