Monitorare il modulo di protezione hardware gestito di Azure
L'articolo illustra:
- I tipi di dati di monitoraggio che è possibile raccogliere per questo servizio.
- Modi per analizzare i dati.
Quando si hanno applicazioni e processi di business critici che si basano sulle risorse di Azure, è necessario monitorare e ricevere avvisi per il sistema. Il servizio Monitoraggio di Azure raccoglie e aggrega metriche e log da ogni componente del sistema. Il Monitoraggio di Azure offre una visione sulla disponibilità, le prestazioni e la resilienza e notifica i problemi. È possibile usare il portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure, l'API REST o le librerie client per configurare e visualizzare i dati di monitoraggio.
Per altre informazioni sul monitoraggio di Azure, vedere Informazioni generali sul Monitoraggio di Azure. Per altre informazioni su come monitorare le risorse di Azure in generale, vedere Monitorare le risorse di Azure con Monitoraggio di Azure.
Pagina Monitoraggio in portale di Azure
Per ogni modulo di protezione hardware gestito, è possibile passare alla scheda Metriche nella barra laterale sinistra, in Monitoraggio, nella portale di Azure per visualizzare le metriche seguenti:
- Latenza complessiva dell'API del servizio
- Disponibilità complessiva del servizio
- Totale di accessi all'API del servizio
Tipi di risorsa
Azure usa il concetto di tipi di risorse e ID per identificare tutti gli elementi in una sottoscrizione. Il Monitoraggio di Azure organizza in modo analogo i dati di monitoraggio di base in metriche e log in base ai tipi di risorse, detti anche spazi dei nomi. Sono disponibili metriche e log diversi per diversi tipi di risorse. Il servizio potrebbe essere associato a più tipi di risorse.
I tipi di risorse fanno anche parte degli ID della risorsa per ogni risorsa in esecuzione in Azure. Ad esempio, un tipo di risorsa per una macchina virtuale è Microsoft.Compute/virtualMachines. Per un elenco dei servizi e dei relativi tipi di risorse associati, vedere Provider di risorse.
Per altre informazioni sui tipi di risorse per i moduli di protezione hardware gestiti, vedere Informazioni di riferimento sui dati di monitoraggio di Azure Key Vault.
Archiviazione di dati
Per il Monitoraggio di Azure:
- I dati delle metriche vengono archiviati dal database di metriche del Monitoraggio di Azure.
- I dati di log vengono archiviati nell'archivio dei log del Monitoraggio di Azure. Log Analytics è uno strumento nel portale di Azure in grado di eseguire query su questo archivio.
- Il log attività di Azure è un archivio separato con la propria interfaccia nel portale di Azure.
Facoltativamente, è possibile instradare i dati delle metriche e dei log attività all'archivio dei log di Monitoraggio di Azure. È quindi possibile usare Analisi dei log per eseguire query sui dati e correlarli con altri dati di log.
Molti servizi possono usare le impostazioni di diagnostica per inviare i dati delle metriche e dei log ad altre posizioni di archiviazione all'esterno di Monitoraggio di Azure. Gli esempi includono Archiviazione di Azure, sistemi partner ospitati e sistemi partner non Azure usando Hub eventi.
Per informazioni dettagliate su come il Monitoraggio di Azure archivia i dati, vedere la piattaforma dati del Monitoraggio di Azure.
Raccolta e routing
Le metriche della piattaforma e il log attività vengono raccolti e archiviati automaticamente, ma possono essere instradati ad altre posizioni usando un'impostazione di diagnostica.
I log delle risorse non vengono raccolti e archiviati fino a quando non si crea un'impostazione di diagnostica e li si instrada a una o più posizioni.
Per consentire al processo di creare un'impostazione di diagnostica usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell, vedere Creare un'impostazione di diagnostica per raccogliere i log e le metriche della piattaforma in Azure. Quando si crea un'impostazione di diagnostica, si specificano quali categorie di log raccogliere. Le categorie per il modulo di protezione hardware gestito sono elencate in Informazioni di riferimento sui dati di monitoraggio di Key Vault.
Per creare un'impostazione di diagnostica per l'insieme di credenziali delle chiavi, vedere Configurare la registrazione per il modulo di protezione hardware gestito. Le metriche e i log che è possibile raccogliere sono descritti nelle sezioni seguenti.
Metriche della piattaforma del Monitoraggio di Azure
Il Monitoraggio di Azure fornisce metriche della piattaforma per la maggior parte dei servizi. Le metriche sono:
- Definite singolarmente per ogni spazio dei nomi.
- Archiviate in un database delle metriche di serie temporali del Monitoraggio di Azure.
- Leggere e in grado di creare avvisi in tempo quasi reale.
- Usate per tenere traccia delle prestazioni di una risorsa nel tempo.
Raccolta: il Monitoraggio di Azure raccoglie automaticamente le metriche della piattaforma. Non è richiesta alcuna configurazione.
Routing: in genere è possibile instradare le metriche della piattaforma verso i log del Monitoraggio di Azure/Log Analytics in modo da poterle interrogare con altri dati di log. Per altre informazioni, vedere Panoramica delle metriche di Monitoraggio di Azure. Per informazioni su come configurare le impostazioni di diagnostica per un servizio, vedere Creare impostazioni di diagnostica nel Monitoraggio di Azure.
Per un elenco di tutte le metriche è possibile raccogliere tutte le risorse in Monitoraggio di Azure, vedere Metriche supportate con Monitoraggio di Azure.
È possibile analizzare le metriche per Key Vault con le metriche di altri servizi di Azure usando Esplora metriche aprendo Metriche dal menu Monitoraggio di Azure. Per informazioni dettagliate sull'uso di questo strumento, vedere Analizzare le metriche con Esplora metriche di Monitoraggio di Azure.
Per un elenco delle metriche disponibili per il modulo di protezione hardware gestito, vedere Informazioni di riferimento per i dati di monitoraggio di Azure Key Vault.
Log delle risorse di Monitoraggio di Azure
I log delle risorse forniscono informazioni dettagliate sulle operazioni eseguite da una risorsa di Azure. I log vengono generati automaticamente, ma è necessario indirizzarli verso i log del Monitoraggio di Azure per salvarli o interrogarli. I log sono organizzati in categorie. Uno specifico spazio dei nomi potrebbe avere più categorie di log delle risorse.
Raccolta: i log delle risorse non vengono raccolti e archiviati fino a quando non si crea un'impostazione di diagnostica e si instradano i log a una o più posizioni. Quando si crea un'impostazione di diagnostica, si specificano quali categorie di log raccogliere. Esistono diversi modi per creare e gestire le impostazioni di diagnostica, tra cui il portale di Azure, il livello programmatico e anche i Criteri di Azure.
Pianificazione percorso: l'impostazione predefinita consigliata consiste nell'instradare i log delle risorse verso i log del Monitoraggio di Azure in modo da poterli interrogare con altri dati di log. Sono disponibili anche altre posizioni, ad esempio Archiviazione di Azure, Hub eventi di Azure e alcuni partner di monitoraggio Microsoft. Per altre informazioni, vedere Raccogliere e analizzare i log delle risorse da una risorsa di Azure e impostazioni di diagnostica in Monitoraggio di Azure: destinazioni.
Per informazioni dettagliate sulla raccolta, l'archiviazione e la pianificazione percorso dei log delle risorse, vedere Impostazioni di diagnostica nel Monitoraggio di Azure.
Per un elenco di tutte le categorie di log delle risorse disponibili in Monitoraggio di Azure, vedere Categorie di log delle risorse supportate per Monitoraggio di Azure.
Tutti i log delle risorse nel Monitoraggio di Azure hanno gli stessi campi d'intestazione, seguiti da campi specifici del servizio. Lo schema comune è illustrato in Schema comune e specifico del servizio per i log delle risorse di Azure.
Per le categorie di log delle risorse disponibili, le tabelle di Log Analytics associate e gli schemi di log per il modulo di protezione hardware gestito, vedere Informazioni di riferimento sui dati di monitoraggio di Azure Key Vault.
Finestra Log attività di Azure
Il log attività contiene eventi a livello di sottoscrizione che tengono traccia delle operazioni per ogni risorsa di Azure vista dall'esterno, ad esempio la creazione di una nuova risorsa o l'avvio di una macchina virtuale.
Raccolta: gli eventi del log attività vengono generati e raccolti automaticamente in un archivio separato per la visualizzazione nel portale di Azure.
Pianificazione percorso: è possibile inviare i dati del log attività ai log di Monitoraggio di Azure in modo da poterli analizzare insieme ad altri dati di log. Sono disponibili anche altre posizioni, ad esempio Archiviazione di Azure, Hub eventi di Azure e alcuni partner di monitoraggio Microsoft. Per altre informazioni su come indirizzare il log attività, vedere Inviare i dati del log attività di Monitoraggio di Azure.
Analisi dei log
I dati nei log di Monitoraggio di Azure vengono archiviati in tabelle, ognuna delle quali ha un proprio set di proprietà univoche.
Tutti i log delle risorse in Monitoraggio di Azure hanno gli stessi campi seguiti da campi specifici del servizio. Lo schema comune è illustrato in Schema comune e specifico del servizio per i log delle risorse di Azure.
Il Log attività è un tipo di log della piattaforma per Azure che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione. È possibile visualizzarlo in modo indipendente o instradarlo ai log di Monitoraggio di Azure, in cui è possibile eseguire query molto più complesse usando Log Analytics.
Per un elenco dei tipi di log delle risorse raccolti per il modulo di protezione hardware gestito, vedere Informazioni di riferimento sul monitoraggio dei dati di Key Vault.
Per un elenco delle tabelle usate dai log di Monitoraggio di Azure e su cui è possibile eseguire query da Log Analytics, vedere Informazioni di riferimento sul monitoraggio dei dati di Key Vault.
Analizzare i dati di monitoraggio
Sono disponibili molti strumenti per l'analisi dei dati di monitoraggio.
Strumenti di Monitoraggio di Azure
Il Monitoraggio di Azure supporta gli strumenti di base seguenti:
- Esplora metriche, uno strumento nel portale di Azure che consente di visualizzare e analizzare le metriche per le risorse di Azure. Per altre informazioni, vedere Analizzare le metriche con Esplora metriche di Monitoraggio di Azure.
- Log Analytics, uno strumento nella portale di Azure che consente di eseguire query e analizzare i dati di log usando il linguaggio di query Kusto (KQL). Per altre informazioni, vedere Introduzione alle query dei log del Monitoraggio di Azure.
- Log attività, che dispone di un'interfaccia utente nella portale di Azure per la visualizzazione e le ricerche di base. Per eseguire analisi più approfondite, è necessario instradare i dati verso i log di Monitoraggio di Azure ed eseguire query più complesse in Log Analytics.
Gli strumenti che consentono una visualizzazione più complessa includono:
- I dashboard che consentono di combinare tipi di dati diversi in un singolo riquadro nel portale di Azure.
- Cartelle di lavoro, report personalizzabili che è possibile creare nel portale di Azure. Le cartelle di lavoro possono includere testo, metriche e query di log.
- Grafana è una piattaforma aperta, ideale per i dashboard operativi. È possibile usare Grafana per creare dashboard che includano dati da più origini diverse dal Monitoraggio di Azure.
- Power BI, un servizio di analisi aziendale che fornisce visualizzazioni interattive per un'ampia varietà di origini dati. È possibile configurare per Power BI per importare automaticamente i dati di log da Monitoraggio di Azure per sfruttare i vantaggi di queste visualizzazioni.
Strumenti di esportazione del Monitoraggio di Azure
È possibile ottenere dati dal Monitoraggio di Azure in altri strumenti usando i metodi seguenti:
- Metriche: usare l'API REST per le metriche per estrarre i dati delle metriche dal database delle metriche di Monitoraggio di Azure. L'API supporta espressioni di filtro per perfezionare i dati recuperati. Per altre informazioni, vedere Informazioni di riferimento sull'API REST del Monitoraggio di Azure.
- Log: usare l'API REST o le librerie client associate.
- Un'altra opzione è l'esportazione dati dell'area di lavoro.
Per iniziare a usare l'API REST per il Monitoraggio di Azure, vedere Procedura dettagliata per l'API REST del Monitoraggio di Azure.
Query Kusto
È possibile analizzare i dati di monitoraggio nell'archivio dei Log/Log Analytics del Monitoraggio di Azure usando il linguaggio di query Kusto (KQL).
Importante Quando si seleziona Log dal menu del servizio nel portale, Log Analytics si apre con l'ambito della query impostato sul servizio corrente. Questo ambito fa sì che le query di log includano solo i dati di tale tipo di risorsa. Per eseguire una query che include dati di altri servizi di Azure, selezionare Log dal menu Monitoraggio di Azure. Per i dettagli, vedere Ambito e intervallo di tempo delle query su log in Log Analytics di Monitoraggio di Azure.
Per un elenco di query comuni per qualsiasi servizio, vedere Usare le query in Log Analytics.
Ecco alcune query che è possibile immettere nella barra di ricerca log per monitorare le risorse del modulo di protezione hardware gestito. Queste query usano il nuovo linguaggio.
Sono presenti richieste lente?
// List of Managed HSM requests that took longer than 1sec.
// To create an alert for this query, click '+ New alert rule'
let threshold=1000; // let operator defines a constant that can be further used in the query
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| where ResourceType == "MANAGEDHSMS"
| where DurationMs > threshold
| summarize count() by OperationName, _ResourceId
Ci sono errori?
// Count of failed Managed HSM requests by status code.
// To create an alert for this query, click '+ New alert rule'
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| where ResourceType == "MANAGEDHSMS"
| where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401)
| summarize count() by requestUri_s, ResultSignature, _ResourceId
// ResultSignature contains HTTP status, e.g. "OK" or "Forbidden"
// httpStatusCode_d contains HTTP status code returned
Quanto è attivo questo modulo di protezione hardware gestito?
// Line chart showing trend of Managed HSM requests volume, per operation over time.
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services.
// Filter on ResourceProvider for logs specific to a service.
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| where ResourceType == "MANAGEDHSMS"
| summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
| render timechart
Chi chiama questo modulo di protezione hardware gestito?
// List of callers identified by their IP address with their request count.
// Managed HSM diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services.
// Filter on ResourceProvider for logs specific to a service.
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| where ResourceType == "MANAGEDHSMS"
| summarize count() by CallerIPAddress
Quanto è veloce questo modulo di protezione hardware gestito che gestisce le richieste?
// Line chart showing trend of request duration over time using different aggregations.
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| where ResourceType == "MANAGEDHSMS"
| summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
| render timechart
Avvisi
Gli avvisi di Monitoraggio di Azure notificano in modo proattivo quando vengono riscontrate condizioni specifiche nei dati di monitoraggio. Consentono di identificare e risolvere i problemi del sistema prima che gli utenti li notino. Per altre informazioni, vedere Avvisi di Monitoraggio di Azure.
Esistono molte origini di avvisi comuni per le risorse di Azure. Per esempi di avvisi comuni per le risorse di Azure, vedere Query di avviso di log di esempio. Il sito Avvisi di base di Monitoraggio di Azure (AMBA) offre un metodo semi-automatizzato per implementare importanti avvisi, dashboard e linee guida per le metriche della piattaforma. Il sito si applica a un sottoinsieme di servizi di Azure in continua espansione, inclusi tutti i servizi che fanno parte della zona di destinazione di Azure.
Lo schema di avviso comune standardizza l'utilizzo delle notifiche di avviso di Monitoraggio di Azure. Per altre informazioni, vedere lo Schema degli avvisi comuni.
Tipi di avviso:
È possibile creare avvisi su qualsiasi metrica o fonte di dati di log nella piattaforma di dati di Monitoraggio di Azure. Esistono molti tipi diversi di avvisi a seconda dei servizi monitorati e dei dati di monitoraggio raccolti. Ogni tipo di avviso presenta vantaggi e svantaggi. Per altre informazioni, vedere Scegliere il tipo di avviso di monitoraggio corretto.
L'elenco seguente descrive i tipi di avvisi del Monitoraggio di Azure che è possibile creare:
- Gli avvisi delle metriche valutano le metriche delle risorse a intervalli regolari. Le metriche possono essere metriche della piattaforma, metriche personalizzate, log di Monitoraggio di Azure convertiti in metriche o metriche di Application Insights. Gli avvisi delle metriche possono anche applicare più condizioni e soglie dinamiche.
- Gli avvisi relativi ai log consentono agli utenti di utilizzare una query di Log Analytics per valutare i log delle risorse con una frequenza predefinita.
- Gli avvisi dei log attività vengono attivati quando si verifica un nuovo evento del log attività che soddisfa le condizioni definite. Gli avvisi sull'integrità delle risorse e gli avvisi sull'integrità dei servizi sono avvisi di log delle attività che segnalano l'integrità dei servizi e delle risorse.
Alcuni servizi di Azure supportano anche avvisi di rilevamento intelligente, avvisi Prometheus o regole di avviso consigliate.
Per alcuni servizi, è possibile effettuare un monitoraggio su larga scala applicando la stessa regola di avviso delle metriche a più risorse dello stesso tipo presenti nella stessa area di Azure. Vengono inviate notifiche singole per ogni risorsa monitorata. Per i servizi e i cloud di Azure supportati, vedere Monitorare più serie temporali in una singola regola di avviso delle metriche: più risorse (multi-risorsa).
Nota Se si sta creando o eseguendo un'applicazione in esecuzione nel servizio, Application Insights di Monitoraggio di Azure potrebbe offrire più tipi di avvisi.
Regole di avviso del modulo di protezione hardware gestito
L'elenco seguente contiene alcune regole di avviso suggerite per il modulo di protezione hardware gestito. Questi avvisi sono solo esempi. È possibile impostare avvisi per qualsiasi metrica, voce di log o voce di log attività elencata in Informazioni di riferimento sui dati di monitoraggio di Azure Key Vault.
- La disponibilità del modulo di protezione hardware gestito scende al di sotto del 100% (soglia statica)
- Latenza del modulo di protezione hardware gestito è maggiore di 1000 ms (soglia statica)
- Codici di errore totali superiori alla media (soglia dinamica)
Per altre informazioni, vedere Avvisi per il modulo di protezione hardware gestito di Azure.
Elementi consigliati di Advisor
Per alcuni servizi, se si verificano condizioni critiche o modifiche imminenti durante le operazioni sulle risorse, viene visualizzato un avviso nella pagina Panoramica del servizio nel portale. È possibile trovare altre informazioni e correzioni consigliate per l'avviso in Consigli di Advisor in Monitoraggio nel menu a sinistra. Durante il normale funzionamento non viene visualizzato nessun consiglio di Advisor.
Per altre informazioni su Azure Advisor, vedere Informazioni generali su Azure Advisor.
Passaggi successivi
- Monitorare il modulo di protezione hardware gestito di Azure
- Configurare gli avvisi del modulo di protezione hardware gestito
- Monitoraggio dell'insieme di credenziali delle chiavi
- Informazioni di riferimento sui dati di monitoraggio di Key Vault
- Creare un avviso di query di log per una risorsa di Azure