Configurar alertas do Azure Key Vault

Depois de começar a usar o Azure Key Vault para armazenar seus segredos de produção, é importante monitorar a integridade do cofre de chaves para garantir que seu serviço funcione conforme o planejado.

Conforme você começar a escalar o serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Esse aumento tem potencial para aumentar a latência de suas solicitações. Em casos extremos, isso pode fazer com que suas solicitações sejam limitadas e afetem o desempenho do seu serviço. Você também precisa saber se o seu cofre de chaves está enviando um número incomum de códigos de erro, para que possa lidar rapidamente com qualquer problema com uma política de acesso ou configuração de firewall.

Este artigo mostrará como configurar alertas em limites especificados para que você possa alertar sua equipe para agir imediatamente se o seu cofre de chaves estiver em um estado não íntegro. Você pode configurar alertas que enviam um email (de preferência para uma lista de distribuição de equipe), disparam uma notificação da Grade de Eventos do Azure ou ligam ou enviam uma mensagem de texto para um número de telefone.

Você pode escolher entre estes tipos de alertas:

• Um alerta estático com base em um valor fixo
• Um alerta dinâmico que avisará se uma métrica monitorada exceder o limite médio de seu cofre de chaves de um determinado número de vezes dentro de um intervalo de tempo definido

Importante

Pode levar até 10 minutos para que os alertas recentemente configurados comecem a enviar notificações.

Este artigo se concentra em alertas para o Key Vault. Para obter informações sobre insights do Key Vault, que combina logs e métricas para oferecer uma solução de monitoramento global, confira Monitoramento do seu cofre de chaves com insights do Key Vault.

Configurar um grupo de ação

Um grupo de ações é uma lista configurável de notificações e de propriedades. A primeira etapa na configuração de alertas é criar um grupo de ação e escolher um tipo de alerta:

1. Entre no portal do Azure.

2. Procure por Alertasna caixa de pesquisa.

3. SelecioneGerenciar ações.

   

4. Escolha + Adicionar Grupo de Ação.

   

5. Escolha o valor Tipo de Ação para o grupo de ação. Neste exemplo, criaremos um alerta de email e SMS. Escolha Email/SMS/Push/Serviço de Voz.

   

6. Na caixa de diálogo, insira os detalhes de email e SMS e, em seguida, escolha OK.

   

Configurar os limites de alerta

Em seguida, crie uma regra e configure os limites que dispararão um alerta:

1. Escolha o recurso do cofre de chaves no portal do Microsoft Azure e escolha Alertas em Monitoramento.

   

2. Selecione Nova regra de alerta.

   

3. Escolha o escopo da sua regra de alerta. Você pode selecionar um único cofre ou diversos cofres.

   Importante

   Quando você estiver selecionando diversos cofres para o escopo de seus alertas, todos os cofres selecionados deverão estar na mesma região. Você terá de configurar as regras de alerta separadas para os cofres em regiões diferentes.

   

4. Escolha os limites que definem a lógica para seus alertas e, em seguida, escolha Adicionar. A equipe do Key Vault recomenda configurar os seguintes limites para a maioria dos aplicativos, mas você pode ajustá-los com base nas necessidades do aplicativo:

   • A disponibilidade do Key Vault cai abaixo de 100% (limite estático)

   Importante

   Esse alerta atualmente inclui incorretamente operações de execução longa e as relata como o serviço não disponível. Você pode monitorar os logs do Key Vault para ver se as operações estão falhando devido ao serviço estar indisponível

   • A latência do Key Vault é maior que 1.000 ms (limite estático)

   Observação

   A intenção do limite de 1.000 ms é notificar que o serviço Key Vault nessa região tem uma carga de trabalho maior que a média. Nosso SLA para operações do Key Vault é muito maior. Consulte o Contrato de Nível de Serviço para Serviços Online para ler o SLA atual. Para alertar quando as operações do Key Vault estiverem fora do SLA, use os limites dos documentos SLA.

   • A saturação geral do cofre é maior que 75% (limite estático)
   • A saturação geral do cofre excede a média (limite dinâmico)
   • O total dos códigos de erro é maior que a média (limite dinâmico)

   

Exemplo: configurar um limite de alerta estático para a latência

1. Escolha a latência geral da API de serviço como o nome do sinal.

   

2. Use os seguintes parâmetros de configuração:

   • Defina o Limite para Estático.
   • Defina o Operador como Maior que.
   • Defina o Tipo de agregação para Média.
   • Defina o Valor de limite para 1.000.
   • Defina a Granularidade de agregação (período) para 5 minutos.
   • Defina a Frequência de avaliação para A cada 1 minuto.

   

3. Selecione Concluído.

Exemplo: configurar um limite de alerta dinâmico para a saturação do cofre

Ao usar um alerta dinâmico, você poderá ver os dados históricos do cofre de chaves que você selecionou. A região azul representa o uso médio do cofre de chaves. A área vermelha mostra os picos que dispararam um alerta fornecendo outros critérios na configuração do alerta sejam atendidos. Os pontos vermelhos mostram as instâncias de violações em que os critérios para o alerta foram atendidos durante a janela de tempo agregada.

Você pode definir um alerta para disparar após um determinado número de violações dentro de um tempo definido. Se você não quiser incluir os dados passados, há uma opção para exclui-los abaixo nas configurações avançadas.

1. Use os seguintes parâmetros de configuração:

   • Defina Nome da Dimensão como Tipo de Transação e Valores da Dimensão como vaultoperation.
   • Defina o Limite para Dinâmico.
   • Defina o Operador como Maior que.
   • Defina o Tipo de agregação para Média.
   • Definir a Sensibilidade do limite como Média.
   • Defina a Granularidade de agregação (período) para 5 minutos.
   • Defina a Frequência de avaliação para A cada 5 minutos.
   • Defina Configurações avançadas (opcional).

   

2. Selecione Concluído.

3. Escolha Adicionar para incluir o grupo de ação que você configurou.

   

4. Nos detalhes do alerta, habilite o alerta e atribua uma severidade.

   

5. Crie o alerta.

Alerta de e-mail de exemplo

Se você seguiu todas as etapas anteriores, receberá alertas por email quando o seu cofre de chaves atender aos critérios de alerta que você configurou. O alerta de email a seguir é um exemplo.

Exemplo: alerta de consulta de log para certificados com expiração próxima

Você pode definir um alerta para notificá-lo sobre certificados prestes a expirar.

Observação

Eventos de expiração próximos para certificados são registrados 30 dias antes da expiração.

1. Vá para Logs e cole a consulta abaixo na janela de consulta

   AzureDiagnostics
   | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
   | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
   | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
   | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
   
   

2. Selecione Nova regra de alerta

   

3. Na guia Condição, use a seguinte configuração:

   • Em Medição, defina a Granularidade de agregação como 1 dia
   • Em Divisão por dimensões, defina a coluna ID do Recurso como ResourceId.
   • Defina CertName e DayTillExpire como dimensões.
   • Em Lógica de alerta, defina o Valor limite como 0 e a Frequência da avaliação como 1 dia.

   

4. Na guia Ações, configure o alerta para enviar um email

   1. Selecione criar grupo de ações

      

   2. Configurar Criar grupo de ações

      

   3. Configurar Notificações para enviar um email

      

   4. Configurar Detalhes para disparar o alerta de Aviso

      

   5. Selecione Examinar + criar

Próximas etapas

Use as ferramentas configuradas por você neste artigo para monitorar ativamente a integridade do cofre de chaves:

• Monitorar o Key Vault
• Como monitorar a referência de dados do Key Vault
• Criar um alerta de consulta de log para um recurso do Azure