Azure Key Vault のアラートの構成
Azure Key Vault を使用して運用環境のシークレットの保管を開始した後は、サービスが意図したとおりに動作しているか確認するために、キー コンテナーの正常性を監視することが重要です。
サービスのスケーリングを開始すると、キー コンテナーに送信される要求の数が増加します。 この増加によって、要求の待機時間が長くなる可能性があります。 極端なケースでは、要求がスロットルされ、サービスのパフォーマンスに影響を与える可能性があります。 また、アクセス ポリシーやファイアウォールの構成の問題に即座に対応できるよう、キー コンテナーが異常な数のエラー コードを送信しているかどうかを知る必要があります。
この記事では、キー コンテナーの状態が正常でない場合にチームにすぐに対処するよう警告できるように、しきい値を指定してアラートを構成する方法について説明します。 電子メールを (望ましくはチーム配布リストに) 送信したり、Azure Event Grid 通知を起動したり、電話番号に発信したりテキストを送信したりするアラートを構成できます。
次のアラートの種類から選択できます。
- 固定値に基づく静的アラート
- 監視対象のメトリックが、定義された時間範囲内でキー コンテナーの平均値を一定回数超えた場合にアラートを生成する動的アラート。
重要
新しく構成されたアラートが通知の送信を開始するまでに最大 10 分かかる場合があります。
この記事では、Key Vault のアラートに焦点を当てています。 ログとメトリックの両方を組み合わせてグローバル監視ソリューションを提供する Key Vault 分析情報の詳細については、Key Vault 分析情報を使用したキー コンテナーの監視に関するページを参照してください。
アクション グループを構成する
アクション グループは、通知とプロパティの構成可能な一覧です。 アラートを構成するための最初の手順は、アクション グループを作成してアラートの種類を選択することです。
Azure portal にサインインします。
検索ボックスで「アラート」を検索します。
[アクションの管理] を選択します。
[+ アクション グループの追加] を選択します。
アクション グループの [アクションの種類] の値を選択します。 この例では、電子メールと SMS アラートを作成します。 [Email/SMS/Push/Voice](メール、SMS、プッシュ、音声) を選択します。
ダイアログで、電子メールと SMS の詳細を入力してから、 [OK] を選択します。
アラートのしきい値を構成する
次に、ルールを作成し、以下のようにアラートをトリガーするしきい値を構成します。
Azure portal でキー コンテナー リソースを選択してから、 [監視] の下にある [アラート] を選択します。
[新しいアラート ルール] を選択します。
アラート ルールのスコープを選択します。 1 つまたは複数のコンテナーを選択できます。
重要
アラートのスコープに対して複数のコンテナーを選択する場合は、選択したすべてのコンテナーが同じリージョンに存在する必要があります。 異なるリージョンのコンテナーに対して個別のアラート ルールを構成する必要があります。
アラートのロジックを定義するしきい値を選択してから、 [追加] を選択します。 Key Vault チームは、ほとんどのアプリケーションに対して次のしきい値を構成することを推奨していますが、アプリケーションのニーズに応じて調整することもできます。
- Key Vault の可用性が 100% を下回る (静的しきい値)
重要
このアラートには現在、実行時間の長い操作が誤って含まれており、サービスを利用できないとの報告が行われます。 Key Vault ログを監視して、サービスが利用できないことが原因で操作が失敗しているかどうかを確認できます
- Key Vault の待機時間が 1,000 ミリ秒を超える (静的しきい値)
Note
1,000 ミリ秒のしきい値の目的は、このリージョンの Key Vault サービスのワークロードが平均より高いことを通知することです。 Key Vault の操作に対する SLA は数倍高くなっています。現在の SLA については、「オンライン サービスのサービス レベル アグリーメント」を参照してください。 Key Vault の操作が SLA の範囲外である場合にアラートを送信するには、SLA ドキュメントのしきい値を使用してください。
- コンテナーの全体的な飽和度が 75% を超える (静的しきい値)
- コンテナーの全体的な飽和度が平均を超える (動的しきい値)
- エラー コードの総数が平均を超える (動的しきい値)
例: 待機時間に対する静的アラートのしきい値の構成
シグナル名として [サービス API の全体的な待機時間] を選択します。
次の構成パラメーターを使用します。
- [しきい値] を [静的] に設定します。
- [演算子] を [より大きい] に設定します。
- [集計の種類] を [平均] に設定します。
- [しきい値] を [1000] に設定します。
- [集約粒度 (期間)] を [5 分] に設定します。
- [評価の頻度] を [1 分ごと] に設定します。
[Done] を選択します。
例: コンテナーの飽和度に対する動的アラートのしきい値の構成
動的アラートを使用すると、選択したキー コンテナーの履歴データを表示できるようになります。 青色の領域は、キー コンテナーの平均使用量を表します。 赤色の領域は、アラート構成の他の条件が満たされた場合にアラートをトリガーするスパイクを示しています。 赤色の点は、集約期間の時間枠でアラートの条件が満たされた違反のインスタンスを示します。
設定した時間内に特定の数の違反が発生した後に起動するようにアラートを設定できます。 過去のデータを含めたくない場合は、詳細設定に除外するオプションがあります。
次の構成パラメーターを使用します。
- [ディメンション名] を [トランザクションの種類] に設定し、[ディメンション値] を [vaultoperation] に設定します。
- [しきい値] を [動的] に設定します。
- [演算子] を [より大きい] に設定します。
- [集計の種類] を [平均] に設定します。
- [しきい値の感度] を [中] に設定します。
- [集約粒度 (期間)] を [5 分] に設定します。
- [評価の頻度] を [5 分ごと] に設定します。
- [詳細設定] を構成します (省略可能)。
[Done] を選択します。
[追加] を選択して、構成したアクション グループを追加します。
アラートの詳細で、アラートを有効にし、重要度を割り当てます。
アラートを作成します。
電子メール アラートの例
上記のすべての手順を実行すると、構成したアラート条件をキー コンテナーが満たした場合に電子メール アラートが届きます。 電子メール アラートの例を以下に示します。
例: 有効期限が近づいている証明書に関するログ クエリ アラート
証明書の有効期限が近づいていることを通知するアラートを設定できます。
Note
証明書の有効期限が近いイベントは、有効期限の 30 日前にログに記録されます。
[ログ] に移動し、クエリ ウィンドウに次のクエリを貼り付けます
AzureDiagnostics | where OperationName =~ 'CertificateNearExpiryEventGridNotification' | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d) | extend DaysTillExpire = datetime_diff("Day", CertExpire, now()) | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
[新しいアラート ルール] を選択する
[条件] タブで、次の構成を使用します。
- [測定] で、[集計の細分性] を [1 日] に設定します
- [ディメンションで分割] で、[リソース ID 列] を [ResourceId] に設定します。
- ディメンションとして [CertName] と [DayTillExpire] を設定します。
- [アラート ロジック] で、[しきい値] を [0]、[評価の頻度] を [1 日] に設定します。
[アクション] タブで、メールを送信するようにアラートを構成します
- [アクション グループの作成] を選択します
- [アクション グループの作成] を構成します
- メールを送信するように [通知] を構成します
- [警告]アラートをトリガーするように [詳細] を構成します
- [確認と作成] を選択します
- [アクション グループの作成] を選択します
次のステップ
この記事で設定したツールを使用して、キー コンテナーの正常性をアクティブに監視します。