Monitorowanie usługi Azure Key Vault
W tym artykule opisano:
- Typy danych monitorowania, które można zbierać dla tej usługi.
- Sposoby analizowania tych danych.
Uwaga
Jeśli znasz już tę usługę i/lub usługę Azure Monitor i chcesz wiedzieć, jak analizować dane monitorowania, zobacz sekcję Analizowanie pod koniec tego artykułu.
Jeśli masz krytyczne aplikacje i procesy biznesowe korzystające z zasobów platformy Azure, musisz monitorować i otrzymywać alerty dla systemu. Usługa Azure Monitor zbiera i agreguje metryki i dzienniki z każdego składnika systemu. Usługa Azure Monitor zapewnia wgląd w dostępność, wydajność i odporność oraz powiadamia o problemach. Do konfigurowania i wyświetlania danych monitorowania można użyć witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub bibliotek klienckich.
- Aby uzyskać więcej informacji na temat usługi Azure Monitor, zobacz Omówienie usługi Azure Monitor.
- Aby uzyskać więcej informacji na temat ogólnego monitorowania zasobów platformy Azure, zobacz Monitorowanie zasobów platformy Azure za pomocą usługi Azure Monitor.
Wyniki analiz
Niektóre usługi na platformie Azure mają wbudowany pulpit nawigacyjny monitorowania w witrynie Azure Portal, który zapewnia punkt wyjścia do monitorowania usługi. Te pulpity nawigacyjne są nazywane szczegółowymi informacjami i można je znaleźć w centrum szczegółowych informacji usługi Azure Monitor w witrynie Azure Portal.
Usługa Key Vault Insights zapewnia kompleksowe monitorowanie magazynów kluczy, zapewniając ujednolicony widok żądań usługi Key Vault, wydajności, niepowodzeń i opóźnień. Aby uzyskać szczegółowe informacje, zobacz Monitorowanie usługi key vault za pomocą szczegółowych informacji usługi Key Vault.
Strona przeglądu monitorowania w witrynie Azure Portal
Strona Przegląd w witrynie Azure Portal dla każdego magazynu kluczy zawiera następujące metryki na karcie Monitorowanie :
- Żądania ogółem
- Średnie opóźnienie
- Współczynnik powodzenia
Możesz wybrać dodatkowe metryki lub kartę Metryki na pasku bocznym po lewej stronie w obszarze Monitorowanie, aby wyświetlić następujące metryki:
- Ogólne opóźnienie interfejsu API usługi
- Ogólna dostępność magazynu
- Ogólne nasycenie magazynu
- Łączna liczba trafień interfejsu API usługi
- Łączna liczba wyników interfejsu API usługi
Typy zasobów
Platforma Azure używa koncepcji typów zasobów i identyfikatorów, aby zidentyfikować wszystko w subskrypcji. Typy zasobów są również częścią identyfikatorów zasobów dla każdego zasobu uruchomionego na platformie Azure. Na przykład jeden typ zasobu dla maszyny wirtualnej to Microsoft.Compute/virtualMachines
. Aby uzyskać listę usług i skojarzonych z nimi typów zasobów, zobacz Dostawcy zasobów.
Usługa Azure Monitor podobnie organizuje podstawowe dane monitorowania w metryki i dzienniki na podstawie typów zasobów, nazywanych również przestrzeniami nazw. Różne metryki i dzienniki są dostępne dla różnych typów zasobów. Usługa może być skojarzona z więcej niż jednym typem zasobu.
Aby uzyskać więcej informacji na temat typów zasobów dla usługi Key Vault, zobacz Dokumentacja danych monitorowania usługi Azure Key Vault.
Magazyn danych
W przypadku usługi Azure Monitor:
- Dane metryk są przechowywane w bazie danych metryk usługi Azure Monitor.
- Dane dziennika są przechowywane w magazynie dzienników usługi Azure Monitor. Log Analytics to narzędzie w witrynie Azure Portal, które może wykonywać zapytania dotyczące tego magazynu.
- Dziennik aktywności platformy Azure to oddzielny magazyn z własnym interfejsem w witrynie Azure Portal.
Opcjonalnie możesz kierować dane metryki i dziennika aktywności do magazynu dzienników usługi Azure Monitor. Następnie możesz użyć usługi Log Analytics, aby wykonać zapytanie o dane i skorelować je z innymi danymi dziennika.
Wiele usług może używać ustawień diagnostycznych do wysyłania danych metryk i dzienników do innych lokalizacji przechowywania poza usługą Azure Monitor. Przykłady obejmują usługę Azure Storage, hostowane systemy partnerskie i systemy partnerskie spoza platformy Azure przy użyciu usługi Event Hubs.
Aby uzyskać szczegółowe informacje na temat sposobu przechowywania danych przez usługę Azure Monitor, zobacz Azure Monitor data platformy.
Zbieranie i routing
Metryki platformy i dziennik aktywności są zbierane i przechowywane automatycznie, ale mogą być kierowane do innych lokalizacji przy użyciu ustawienia diagnostycznego.
Dzienniki zasobów nie są zbierane ani przechowywane, dopóki nie utworzysz ustawienia diagnostycznego i nie przekierujesz ich do co najmniej jednej lokalizacji.
Aby poznać szczegółowy proces tworzenia ustawienia diagnostycznego przy użyciu witryny Azure Portal, interfejsu wiersza polecenia lub programu PowerShell, zobacz temat Tworzenie ustawienia diagnostycznego w celu zbierania dzienników i metryk platformy na platformie Azure. Podczas tworzenia ustawienia diagnostycznego należy określić kategorie dzienników, które mają być zbierane. Kategorie usługi Key Vault są wymienione w dokumentacji danych monitorowania usługi Key Vault.
Aby utworzyć ustawienie diagnostyczne dla magazynu kluczy, zobacz Włączanie rejestrowania usługi Key Vault. Metryki i dzienniki, które można zebrać, zostały omówione w poniższych sekcjach.
Metryki platformy usługi Azure Monitor
Usługa Azure Monitor udostępnia metryki platformy dla większości usług. Te metryki to:
- Definiowane indywidualnie dla każdej przestrzeni nazw.
- Przechowywane w bazie danych metryk szeregów czasowych usługi Azure Monitor.
- Lekki i zdolny do obsługi alertów niemal w czasie rzeczywistym.
- Służy do śledzenia wydajności zasobu w czasie.
Kolekcja: usługa Azure Monitor automatycznie zbiera metryki platformy. Nie jest wymagana żadna konfiguracja.
Routing: możesz również kierować niektóre metryki platformy do dzienników usługi Azure Monitor/ usługi Log Analytics, aby móc wykonywać zapytania względem nich przy użyciu innych danych dziennika. Sprawdź ustawienie eksportu DS dla każdej metryki, aby sprawdzić, czy możesz użyć ustawienia diagnostycznego, aby kierować metrykę do dzienników usługi Azure Monitor/ usługi Log Analytics.
- Aby uzyskać więcej informacji, zobacz ustawienie diagnostyczne Metryki.
- Aby skonfigurować ustawienia diagnostyczne dla usługi, zobacz Tworzenie ustawień diagnostycznych w usłudze Azure Monitor.
Aby uzyskać listę wszystkich metryk, które można zebrać dla wszystkich zasobów w usłudze Azure Monitor, zobacz Obsługiwane metryki w usłudze Azure Monitor.
Metryki dla usługi Key Vault można analizować za pomocą metryk z innych usług platformy Azure przy użyciu Eksploratora metryk, otwierając pozycję Metryki z menu usługi Azure Monitor. Aby uzyskać szczegółowe informacje na temat korzystania z tego narzędzia, zobacz Analizowanie metryk za pomocą Eksploratora metryk usługi Azure Monitor.
Aby uzyskać listę dostępnych metryk dla usługi Key Vault, zobacz Dokumentacja danych monitorowania usługi Azure Key Vault.
Dzienniki zasobów usługi Azure Monitor
Dzienniki zasobów zapewniają wgląd w operacje wykonywane przez zasób platformy Azure. Dzienniki są generowane automatycznie, ale należy skierować je do dzienników usługi Azure Monitor, aby je zapisać lub wysłać do nich zapytanie. Dzienniki są zorganizowane w kategoriach. Dana przestrzeń nazw może mieć wiele kategorii dziennika zasobów.
Kolekcja: dzienniki zasobów nie są zbierane i przechowywane do momentu utworzenia ustawienia diagnostycznego i kierowania dzienników do co najmniej jednej lokalizacji. Podczas tworzenia ustawienia diagnostycznego należy określić kategorie dzienników, które mają być zbierane. Istnieje wiele sposobów tworzenia i konserwacji ustawień diagnostycznych, w tym witryny Azure Portal, programowo i choć usługi Azure Policy.
Routing: sugerowaną wartością domyślną jest kierowanie dzienników zasobów do dzienników usługi Azure Monitor, co umożliwia wykonywanie zapytań względem nich przy użyciu innych danych dziennika. Dostępne są również inne lokalizacje, takie jak Azure Storage, Azure Event Hubs i niektórzy partnerzy monitorowania firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dzienniki zasobów platformy Azure i lokalizacje docelowe dziennika zasobów.
Aby uzyskać szczegółowe informacje na temat zbierania, przechowywania i routingu dzienników zasobów, zobacz Ustawienia diagnostyczne w usłudze Azure Monitor.
Aby uzyskać listę wszystkich dostępnych kategorii dzienników zasobów w usłudze Azure Monitor, zobacz Obsługiwane dzienniki zasobów w usłudze Azure Monitor.
Wszystkie dzienniki zasobów w usłudze Azure Monitor mają te same pola nagłówka, a następnie pola specyficzne dla usługi. Typowy schemat jest opisany w schemacie dziennika zasobów usługi Azure Monitor.
Aby uzyskać dostępne kategorie dzienników zasobów, skojarzone z nimi tabele usługi Log Analytics i schematy dzienników dla usługi Key Vault, zobacz Dokumentacja danych monitorowania usługi Azure Key Vault.
Dziennik aktywności platformy Azure
Dziennik aktywności zawiera zdarzenia na poziomie subskrypcji, które śledzą operacje dla każdego zasobu platformy Azure widoczne spoza tego zasobu; na przykład utworzenie nowego zasobu lub uruchomienie maszyny wirtualnej.
Kolekcja: zdarzenia dziennika aktywności są generowane automatycznie i zbierane w osobnym magazynie do wyświetlania w witrynie Azure Portal.
Routing: możesz wysyłać dane dziennika aktywności do dzienników usługi Azure Monitor, aby móc analizować je wraz z innymi danymi dziennika. Dostępne są również inne lokalizacje, takie jak Azure Storage, Azure Event Hubs i niektórzy partnerzy monitorowania firmy Microsoft. Aby uzyskać więcej informacji na temat kierowania dziennika aktywności, zobacz Omówienie dziennika aktywności platformy Azure.
Analizowanie dzienników
Dane w dziennikach usługi Azure Monitor są przechowywane w tabelach, w których każda tabela ma własny zestaw unikatowych właściwości.
Wszystkie dzienniki zasobów w usłudze Azure Monitor mają te same pola, a następnie pola specyficzne dla usługi. Typowy schemat został opisany w schemacie dziennika zasobów usługi Azure Monitor
Dziennik aktywności to typ dziennika platformy dla platformy Azure, który zapewnia wgląd w zdarzenia na poziomie subskrypcji. Można go wyświetlać niezależnie lub kierować do dzienników usługi Azure Monitor, gdzie można wykonywać znacznie bardziej złożone zapytania przy użyciu usługi Log Analytics.
Aby uzyskać listę typów dzienników zasobów zebranych dla usługi Key Vault, zobacz Monitorowanie dokumentacji danych usługi Key Vault
Aby uzyskać listę tabel używanych przez dzienniki usługi Azure Monitor i wysyłać zapytania do usługi Log Analytics, zobacz Monitorowanie dokumentacji danych usługi Key Vault
Analizowanie danych monitorowania
Istnieje wiele narzędzi do analizowania danych monitorowania.
Narzędzia usługi Azure Monitor
Usługa Azure Monitor obsługuje następujące podstawowe narzędzia:
Eksplorator metryk — narzędzie w witrynie Azure Portal, które umożliwia wyświetlanie i analizowanie metryk dla zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz Analizowanie metryk za pomocą Eksploratora metryk usługi Azure Monitor.
Log Analytics — narzędzie w witrynie Azure Portal, które umożliwia wykonywanie zapytań i analizowanie danych dzienników przy użyciu języka zapytań Kusto (KQL). Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor.
Dziennik aktywności, który zawiera interfejs użytkownika w witrynie Azure Portal do wyświetlania i podstawowych wyszukiwań. Aby przeprowadzić bardziej szczegółową analizę, musisz kierować dane do dzienników usługi Azure Monitor i uruchamiać bardziej złożone zapytania w usłudze Log Analytics.
Narzędzia, które umożliwiają bardziej złożoną wizualizację, obejmują:
- Pulpity nawigacyjne, które umożliwiają łączenie różnych rodzajów danych w jednym okienku w witrynie Azure Portal.
- Skoroszyty, dostosowywalne raporty, które można utworzyć w witrynie Azure Portal. Skoroszyty mogą zawierać tekst, metryki i zapytania dziennika.
- Grafana to otwarte narzędzie platformy, które wyróżnia się na operacyjnych pulpitach nawigacyjnych. Za pomocą narzędzia Grafana można tworzyć pulpity nawigacyjne zawierające dane z wielu źródeł innych niż usługa Azure Monitor.
- Power BI, usługa analizy biznesowej, która udostępnia interaktywne wizualizacje w różnych źródłach danych. Usługę Power BI można skonfigurować tak, aby automatycznie importować dane dziennika z usługi Azure Monitor, aby korzystać z tych wizualizacji.
Narzędzia eksportu usługi Azure Monitor
Dane z usługi Azure Monitor można pobrać do innych narzędzi przy użyciu następujących metod:
Metryki: użyj interfejsu API REST dla metryk , aby wyodrębnić dane metryk z bazy danych metryk usługi Azure Monitor. Interfejs API obsługuje wyrażenia filtrów w celu uściślinia pobranych danych. Aby uzyskać więcej informacji, zobacz Dokumentacja interfejsu API REST usługi Azure Monitor.
Dzienniki: użyj interfejsu API REST lub skojarzonych bibliotek klienckich.
Aby rozpocząć pracę z interfejsem API REST dla usługi Azure Monitor, zobacz Przewodnik po interfejsie API REST monitorowania platformy Azure.
Zapytania usługi Kusto
Dane monitorowania można analizować w magazynie dzienników usługi Azure Monitor /Log Analytics przy użyciu języka zapytań Kusto (KQL).
Ważne
Po wybraniu pozycji Dzienniki z menu usługi w portalu usługa Log Analytics zostanie otwarta z zakresem zapytania ustawionym na bieżącą usługę. Ten zakres oznacza, że zapytania dziennika będą zawierać tylko dane z tego typu zasobu. Jeśli chcesz uruchomić zapytanie zawierające dane z innych usług platformy Azure, wybierz pozycję Dzienniki z menu usługi Azure Monitor . Aby uzyskać szczegółowe informacje, zobacz Zakres zapytań dzienników i zakres czasu w usłudze Azure Monitor Log Analytics .
Aby uzyskać listę typowych zapytań dotyczących dowolnej usługi, zobacz interfejs zapytań usługi Log Analytics.
Poniżej przedstawiono kilka zapytań, które można wprowadzić na pasku wyszukiwania dzienników, aby ułatwić monitorowanie zasobów usługi Key Vault. Te zapytania działają z nowym językiem.
Czy istnieją klienci korzystający ze starej wersji protokołu TLS (<1.2)?
AzureDiagnostics | where TimeGenerated > ago(90d) | where ResourceProvider =="MICROSOFT.KEYVAULT" | where isnotempty(tlsVersion_s) and strcmp(tlsVersion_s,"TLS1_2") <0 | project TimeGenerated,Resource, OperationName, requestUri_s, CallerIPAddress, OperationVersion,clientInfo_s,tlsVersion_s,todouble(tlsVersion_s) | sort by TimeGenerated desc
Czy istnieją jakieś powolne żądania?
// List of KeyVault requests that took longer than 1sec. // To create an alert for this query, click '+ New alert rule' let threshold=1000; // let operator defines a constant that can be further used in the query AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | where DurationMs > threshold | summarize count() by OperationName, _ResourceId
Czy występują jakieś błędy?
// Count of failed KeyVault requests by status code. // To create an alert for this query, click '+ New alert rule' AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | where httpStatusCode_d >= 300 and not(OperationName == "Authentication" and httpStatusCode_d == 401) | summarize count() by requestUri_s, ResultSignature, _ResourceId // ResultSignature contains HTTP status, e.g. "OK" or "Forbidden" // httpStatusCode_d contains HTTP status code returned
Czy występują błędy deserializacji danych wejściowych?
// Shows errors caused due to malformed events that could not be deserialized by the job. // To create an alert for this query, click '+ New alert rule' AzureDiagnostics | where ResourceProvider == "MICROSOFT.KEYVAULT" and parse_json(properties_s).DataErrorType in ("InputDeserializerError.InvalidData", "InputDeserializerError.TypeConversionError", "InputDeserializerError.MissingColumns", "InputDeserializerError.InvalidHeader", "InputDeserializerError.InvalidCompressionType") | project TimeGenerated, Resource, Region_s, OperationName, properties_s, Level, _ResourceId
Jak aktywny jest ten program KeyVault?
// Line chart showing trend of KeyVault requests volume, per operation over time. // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. // Filter on ResourceProvider for logs specific to a service. AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour | render timechart
Kto wywołuje tę usługę KeyVault?
// List of callers identified by their IP address with their request count. // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. // Filter on ResourceProvider for logs specific to a service. AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | summarize count() by CallerIPAddress
Jak szybko jest to usługa KeyVault obsługująca żądania?
// Line chart showing trend of request duration over time using different aggregations. AzureDiagnostics | where ResourceProvider =="MICROSOFT.KEYVAULT" | summarize avg(DurationMs) by requestUri_s, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request | render timechart
Jakie zmiany wystąpiły w zeszłym miesiącu?
// Lists all update and patch requests from the last 30 days. // KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. // Filter on ResourceProvider for logs specific to a service. AzureDiagnostics | where TimeGenerated > ago(30d) // Time range specified in the query. Overrides time picker in portal. | where ResourceProvider =="MICROSOFT.KEYVAULT" | where OperationName == "VaultPut" or OperationName == "VaultPatch" | sort by TimeGenerated desc
Alerty
Alerty usługi Azure Monitor proaktywnie powiadamiają o znalezieniu określonych warunków w danych monitorowania. Alerty umożliwiają identyfikowanie i rozwiązywanie problemów w systemie przed ich zauważeniem przez klientów. Aby uzyskać więcej informacji, zobacz Alerty usługi Azure Monitor.
Istnieje wiele źródeł typowych alertów dotyczących zasobów platformy Azure. Przykłady typowych alertów dotyczących zasobów platformy Azure można znaleźć w temacie Przykładowe zapytania alertów dziennika. Witryna Alerty bazowe usługi Azure Monitor (AMBA) udostępnia częściowo zautomatyzowaną metodę implementowania ważnych alertów metryk platformy, pulpitów nawigacyjnych i wytycznych. Witryna ma zastosowanie do stale powiększającego się podzestawu usług platformy Azure, w tym wszystkich usług, które są częścią strefy docelowej platformy Azure (ALZ).
Typowy schemat alertu standandaryzuje użycie powiadomień o alertach usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Wspólny schemat alertów.
Typy alertów
Możesz otrzymywać alerty dotyczące dowolnej metryki lub źródła danych dziennika na platformie danych usługi Azure Monitor. Istnieje wiele różnych typów alertów w zależności od usług, które monitorujesz i zbieranych danych monitorowania. Różne typy alertów mają różne zalety i wady. Aby uzyskać więcej informacji, zobacz Wybieranie odpowiedniego typu alertu monitorowania.
Poniższa lista zawiera opis typów alertów usługi Azure Monitor, które można utworzyć:
- Alerty metryk oceniają metryki zasobów w regularnych odstępach czasu. Metryki mogą być metrykami platformy, metrykami niestandardowymi, dziennikami z usługi Azure Monitor przekonwertowanym na metryki lub metrykami usługi Application Insights. Alerty metryk mogą również stosować wiele warunków i progów dynamicznych.
- Alerty dzienników umożliwiają użytkownikom używanie zapytania usługi Log Analytics do oceny dzienników zasobów z wstępnie zdefiniowaną częstotliwością.
- Alerty dziennika aktywności są wyzwalane, gdy wystąpi nowe zdarzenie dziennika aktywności zgodne ze zdefiniowanymi warunkami. Alerty usługi Resource Health i alerty usługi Service Health to alerty dziennika aktywności, które zgłaszają kondycję usługi i zasobów.
Niektóre usługi platformy Azure obsługują również alerty wykrywania inteligentnego, alerty Prometheus lub zalecane reguły alertów.
W przypadku niektórych usług można monitorować na dużą skalę, stosując tę samą regułę alertu metryki do wielu zasobów tego samego typu, które istnieją w tym samym regionie świadczenia usługi Azure. Poszczególne powiadomienia są wysyłane dla każdego monitorowanego zasobu. Aby uzyskać informacje o obsługiwanych usługach i chmurach platformy Azure, zobacz Monitorowanie wielu zasobów przy użyciu jednej reguły alertu.
Uwaga
Jeśli tworzysz lub uruchamiasz aplikację działającą w usłudze, usługa Azure Monitor application insights może oferować więcej typów alertów.
Reguły alertów usługi Key Vault
Poniższa lista zawiera kilka sugerowanych reguł alertów dla usługi Key Vault. Te alerty są tylko przykładami. Alerty można ustawić dla dowolnej metryki, wpisu dziennika lub wpisu dziennika aktywności wymienionego w dokumentacji danych monitorowania usługi Azure Key Vault.
- Dostępność usługi Key Vault spada poniżej 100% (próg statyczny)
- Opóźnienie usługi Key Vault jest większe niż 1000 ms (próg statyczny)
- Nasycenie ogólnego magazynu jest większe niż 75% (próg statyczny)
- Ogólne nasycenie magazynu przekracza średnią (próg dynamiczny)
- Łączne kody błędów wyższe niż średnia (próg dynamiczny)
Aby uzyskać więcej informacji, zobacz Alerting for Azure Key Vault (Alerty dla usługi Azure Key Vault).
Zalecenia doradcy
W przypadku niektórych usług, jeśli podczas operacji zasobów wystąpią krytyczne warunki lub nieuchronne zmiany, na stronie Przegląd usługi w portalu zostanie wyświetlony alert. Więcej informacji i zalecanych poprawek alertu można znaleźć w temacie Zalecenia usługi Advisor w obszarze Monitorowanie w menu po lewej stronie. Podczas normalnych operacji nie są wyświetlane żadne zalecenia doradcy.
Aby uzyskać więcej informacji na temat usługi Azure Advisor, zobacz Omówienie usługi Azure Advisor.
Powiązana zawartość
- Zapoznaj się z dokumentacją danych monitorowania usługi Azure Key Vault, aby uzyskać informacje o metrykach, dziennikach i innych ważnych wartościach utworzonych dla usługi Key Vault.
- Zobacz Monitorowanie zasobów platformy Azure za pomocą usługi Azure Monitor , aby uzyskać ogólne informacje na temat monitorowania zasobów platformy Azure.