Configurar alertas do Azure Key Vault

Depois de começar a usar o Azure Key Vault para armazenar seus segredos de produção, é importante monitorar a integridade do cofre de chaves para garantir que seu serviço funcione conforme o esperado.

Conforme você começar a escalar o serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Esse aumento tem potencial para aumentar a latência de suas solicitações. Em casos extremos, isso pode fazer com que suas solicitações sejam limitadas e afetem o desempenho do seu serviço. Você também precisa saber se o cofre de chaves está enviando um número incomum de códigos de erro, para que você possa lidar rapidamente com quaisquer problemas com uma política de acesso ou configuração de firewall.

Este artigo mostrará como configurar alertas em limites especificados para que você possa alertar sua equipe para agir imediatamente se o seu cofre de chaves estiver em um estado não íntegro. Você pode configurar alertas que enviam um email (de preferência para uma lista de distribuição de equipe), disparam uma notificação da Grade de Eventos do Azure ou ligam ou enviam uma mensagem de texto para um número de telefone.

Você pode escolher entre estes tipos de alertas:

• Um alerta estático com base em um valor fixo
• Um alerta dinâmico que avisará se uma métrica monitorada exceder o limite médio do seu cofre de chaves de determinado número de vezes dentro de um intervalo de tempo definido

Este artigo se concentra em alertas para o Key Vault. Para obter informações sobre insights do Key Vault, que combina logs e métricas para oferecer uma solução de monitoramento global, veja Monitoramento do seu cofre de chaves com insights do Key Vault.

Configurar um grupo de ações

Um grupo de ações é uma lista configurável de notificações e de propriedades. A primeira etapa na configuração de alertas é criar um grupo de ação e escolher um tipo de alerta:

1. Entre no portal do Azure.

2. Pesquise alertas na caixa de pesquisa.

3. Selecione Gerenciar ações.

   

4. Selecione + Adicionar grupo de ações.

   

5. Escolha o valor do Tipo de Ação para o grupo de ações. Neste exemplo, criaremos um email e um alerta de SMS. Selecione Email/SMS/Push/Voz.

   

6. Na caixa de diálogo, insira os detalhes de email e SMS e, em seguida, escolha OK.

   

Configurar limites de alerta

Em seguida, crie uma regra e configure os limites que dispararão um alerta:

1. Selecione o recurso do cofre de chaves no portal do Azure e selecione Alertas em Monitoramento.

   

2. Selecione Nova regra de alerta.

   

3. Escolha o escopo da sua regra de alerta. Você pode selecionar um ou vários cofres.

   Importante

   Quando você estiver selecionando diversos cofres para o escopo de seus alertas, todos os cofres selecionados deverão estar na mesma região. É preciso configurar regras de alerta separadas para os cofres em regiões diferentes.

   

4. Selecione os limites que definem a lógica para seus alertas e, em seguida, selecione Adicionar. A equipe do Key Vault recomenda configurar os seguintes limites para a maioria dos aplicativos, mas você pode ajustá-los com base nas necessidades do aplicativo:

   • A disponibilidade do Key Vault cai abaixo de 100% (limite estático)

   Importante

   Esse alerta atualmente inclui incorretamente operações de execução longa e as relata como serviço não disponível. Você pode monitorar os logs do Key Vault para ver se as operações estão falhando devido ao serviço estar indisponível

   • A latência do Key Vault é maior que 1000 ms (limite estático)

   Observação

   A intenção do limite de 1.000 ms é notificar que o serviço Key Vault nessa região tem uma carga de trabalho maior que a média. Nosso SLA para operações do Key Vault é várias vezes superior, consulte o Contrato de Nível de Serviço para Serviços Online para verificar o SLA atual. Para gerar alertas quando as operações do Key Vault estiverem fora do SLA, use os limites dos documentos de SLA.

   • A saturação geral do cofre é maior que 75% (limite estático)
   • A saturação geral do cofre excede a média (limite dinâmico)
   • O total de códigos de erro é maior que a média (limite dinâmico)

   

Exemplo: configurar um limite de alerta estático para a latência

1. Selecione Latência Geral da API de Serviço como o nome do sinal.

   

2. Use os seguintes parâmetros de configuração:

   • Defina o Limite para Estático.
   • Defina Operador como Maior que.
   • Defina o Tipo de agregação para Média.
   • Defina o Valor de limite para 1.000.
   • Defina a granularidade de agregação (Período) como 5 minutos.
   • Defina a frequência da avaliação como a cada 1 minuto.

   

3. Selecione Concluído.

Exemplo: configurar um limite de alerta dinâmico para a saturação do cofre

Ao usar um alerta dinâmico, você poderá ver os dados históricos do cofre de chaves que você selecionou. A região azul representa o uso médio do cofre de chaves. A área vermelha mostra picos que teriam disparado um alerta se outros critérios na configuração de alerta fossem atendidos. Os pontos vermelhos mostram instâncias de violações em que os critérios do alerta foram atendidos durante a janela de tempo agregada.

Você pode definir um alerta para ser acionado após um determinado número de violações dentro de um tempo definido. Se você não quiser incluir dados passados, há uma opção para excluí-los em configurações avançadas.

1. Use os seguintes parâmetros de configuração:

   • Defina o Nome da Dimensão como Tipo de Transação e Valores de Dimensão como vaultoperation.
   • Defina o Limite como Dinâmico.
   • Defina Operador como Maior que.
   • Defina o Tipo de agregação para Média.
   • Defina Sensibilidade do Limite como Média.
   • Defina a granularidade de agregação (Período) como 5 minutos.
   • Defina a frequência da avaliação como a cada 5 minutos.
   • Definir configurações avançadas (opcional).

   

2. Selecione Concluído.

3. Selecione Adicionar para adicionar o grupo de ações que você configurou.

   

4. Nos detalhes do alerta, habilite o alerta e atribua uma gravidade.

   

5. Crie o alerta.

Exemplo de alerta de email

Se você seguiu todas as etapas anteriores, receberá alertas por email quando o cofre de chaves atender aos critérios de alerta que você configurou. O alerta de email a seguir é um exemplo.

Exemplo: Alerta de consulta de log para certificados de expiração próximos

Você pode definir um alerta para notificá-lo sobre certificados que estão prestes a expirar.

1. Vá para Logs e cole a consulta abaixo na janela de consulta

   AzureDiagnostics
   | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
   | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
   | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
   | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
   
   

2. Selecione Nova regra de alerta

   

3. Na guia Condição, use a seguinte configuração:

   • Na medição , defina a granularidade de agregação como 1 dia
   • Em Divisão por dimensões , defina a coluna ID do Recurso como ResourceId.
   • Defina CertName e DayTillExpire como dimensões.
   • Na lógica de alerta, defina o valor limite como 0 e a frequência da avaliação como 1 dia.

   

4. Na guia Ações , configure o alerta para enviar um email

   1. Selecione criar grupo de ações

      

   2. Configurar Criar grupo de ações

      

   3. Configurar notificações para enviar um email

      

   4. Configurar detalhes para disparar alerta de aviso

      

   5. Selecione Analisar + criar

Próximas etapas

Use as ferramentas configuradas por você neste artigo para monitorar ativamente a integridade do cofre de chaves:

• Monitorar o cofre de chaves
• Como monitorar a referência de dados do Key Vault
• Criar um alerta de consulta de log para um recurso do Azure