Auditoría de consultas en registros de Azure Monitor.
Los registros de auditoría de las consultas de registro proporcionan datos de telemetría sobre la ejecución de consultas de registro en Azure Monitor. Esto incluye información como cuándo se ejecutó una consulta, quién la ejecutó, qué herramienta se usó, el texto de la consulta y las estadísticas de rendimiento que describen la ejecución de la consulta.
Configuración de la auditoría de las consultas
La auditoría de las consultas se habilita con una configuración de diagnóstico en el área de trabajo Log Analytics. Esto le permite enviar datos de auditoría al área de trabajo actual o a cualquier otra área de trabajo de la suscripción, a Azure Event Hubs para enviar datos fuera de Azure o a Azure Storage para su archivo.
Azure portal
Acceda a la configuración de diagnóstico de un área de trabajo de Log Analytics en Azure Portal en cualquiera de las siguientes ubicaciones:
En el menú de Azure Monitor, seleccione Configuración de diagnóstico y, a continuación, busque y seleccione el área de trabajo.
En el menú Áreas de trabajo de Log Analytics, seleccione el área de trabajo y, a continuación, seleccione Configuración de diagnóstico.
Plantilla de Resource Manager
Puede obtener un ejemplo de una plantilla de Resource Manager en Configuración de diagnóstico del área de trabajo de Log Analytics.
Datos de auditoría
Cada vez que se ejecuta una consulta, se crea un registro de auditoría. Si envía los datos a un área de trabajo de Log Analytics, se almacena en una tabla llamada LAQueryLogs. En la tabla siguiente se describen las propiedades de cada registro de los datos de auditoría.
| Campo | Descripción |
|---|---|
| TimeGenerated | Hora UTC a la que se envió la consulta. |
| CorrelationId | Identificador único para identificar la consulta. Se puede usar en escenarios de solución de problemas al ponerse en contacto con Microsoft para obtener ayuda. |
| AADObjectId | Instancia de Microsoft Entra ID de la cuenta de usuario que ha iniciado la consulta. |
| AADTenantId | Identificador de inquilino de la cuenta de usuario que ha iniciado la consulta. |
| AADEmail | Correo electrónico del inquilino de la cuenta de usuario que ha iniciado la consulta. |
| AADClientId | Identificador y nombre resuelto de la aplicación utilizada para iniciar la consulta. |
| RequestClientApp | Nombre resuelto de la aplicación utilizada para iniciar la consulta. Para más información, consulte soliictar aplicación cliente. |
| QueryTimeRangeStart | Inicio del intervalo de tiempo seleccionado para la consulta. Este valor podría no rellenarse en determinados escenarios, como cuando la consulta se inicia desde Log Analytics y el intervalo de tiempo se especifica dentro de la consulta en lugar de en el selector de tiempo. |
| QueryTimeRangeEnd | Fin del intervalo de tiempo seleccionado para la consulta. Este valor podría no rellenarse en determinados escenarios, como cuando la consulta se inicia desde Log Analytics y el intervalo de tiempo se especifica dentro de la consulta en lugar de en el selector de tiempo. |
| QueryText | Texto de la consulta que se ha ejecutado. |
| RequestTarget | Dirección URL de la API que se usó para enviar la consulta. |
| RequestContext | Lista de recursos en los que se solicitó la ejecución de la consulta. Contiene hasta tres matrices de cadenas: áreas de trabajo, aplicaciones y recursos. Las consultas dirigidas a grupos de recursos o suscripciones se mostrarán como recursos. Incluye el destino implícito por RequestTarget. Si se puede resolver, se incluirá el identificador de recurso de cada recurso. Es posible que no se pueda resolver si se devuelve un error al acceder al recurso. En este caso, se usará el texto específico de la consulta. Si la consulta usa un nombre ambiguo, como un nombre de área de trabajo que existe en varias suscripciones, se usará este nombre ambiguo. |
| RequestContextFilters | Conjunto de filtros especificado como parte de la invocación de la consulta. Incluye hasta tres matrices de cadenas posibles: - ResourceTypes: tipo de recurso para limitar el ámbito de la consulta. - Workspaces: lista de áreas de trabajo para limitar la consulta. - WorkspaceRegions: lista de regiones de áreas de trabajo para limitar la consulta. |
| ResponseCode | Código de respuesta HTTP que se devolvió cuando se envió la consulta. |
| ResponseDurationMs | Tiempo que se tardó en devolver la respuesta. |
| ResponseRowCount | Número total de filas devueltas por la consulta. |
| StatsCPUTimeMs | Tiempo total de proceso usado para el cálculo, el análisis y la recuperación de los datos. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsDataProcessedKB | Cantidad de datos a los que se accedió para procesar la consulta. Se ve afectado por el tamaño de la tabla de destino, el intervalo de tiempo usado, los filtros aplicados y el número de columnas a que se hace referencia. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsDataProcessedStart | Hora de los datos más antiguos a los que se accedió para procesar la consulta. Se ve influenciado por el intervalo de tiempo explícito de la consulta y los filtros aplicados. Podría ser mayor que el intervalo de tiempo explícito debido a la creación de particiones de datos. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsDataProcessedEnd | Hora de los datos más recientes a los que se accedió para procesar la consulta. Se ve influenciado por el intervalo de tiempo explícito de la consulta y los filtros aplicados. Podría ser mayor que el intervalo de tiempo explícito debido a la creación de particiones de datos. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsWorkspaceCount | Número de áreas de trabajo a las que tuvo acceso la consulta. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsRegionCount | Número de regiones a las que tuvo acceso la consulta. Solo se rellena si la consulta devuelve el código de estado 200. |
Solicitar aplicación cliente
| RequestClientApp | Descripción |
|---|---|
| AAPBI | Integración de Log Analytics con Power BI. |
| AppAnalytics | Experiencias de Log Analytics en Azure Portal. |
| AppInsightsPortalExtension | Workbooks o Application Insights. |
| ASC_Portal | Microsoft Defender for Cloud. |
| ASI_Portal | Sentinel. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Conector de Azure Monitor Logs. |
| csharpsdk | API Consulta de Log Analytics. |
| Draft-Monitor | creación de alertas de búsqueda de registros en Azure Portal. |
| Grafana | Conector de Grafana. |
| IbizaExtension | Experiencias de Log Analytics en Azure Portal. |
| infraInsights/container | Información de contenedor. |
| infraInsights/vm | Información de VM. |
| LogAnalyticsExtension | Panel de Azure. |
| LogAnalyticsPSClient | API Consulta de Log Analytics. |
| OmsAnalyticsPBI | Integración de Log Analytics con Power BI. |
| PowerBIConnector | Integración de Log Analytics con Power BI. |
| Sentinel-Investigation-Queries | Sentinel. |
| Sentinel-DataCollectionAggregator | Sentinel. |
| Sentinel-analyticsManagement-customerQuery | Sentinel. |
| Unknown | API Consulta de Log Analytics. |
| UpdateManagement | Update Management. |
Consideraciones
- Las consultas solo se registran cuando se ejecutan en un contexto de usuario. No se registrará ningún servicio a servicio dentro de Azure. Los dos conjuntos principales de consultas que engloba esta exclusión son los cálculos de facturación y las ejecuciones de alertas automatizadas. En el caso de las alertas, solo la consulta de alerta programada no se registrará; la ejecución inicial de la alerta en la pantalla de creación de alertas se ejecuta en un contexto de usuario y estará disponible para auditorías.
- Las estadísticas de rendimiento no están disponibles para las consultas que provienen del proxy de Azure Data Explorer. El resto de los datos de estas consultas se seguirán rellenando.
- La sugerencia h en las cadenas que ofuscan literales de cadena no afectará a los registros de auditoría de consulta. Las consultas se capturarán exactamente como se enviaron sin la cadena que se ofusca. Debe asegurarse de que solo los usuarios que tienen derechos de cumplimiento para ver estos datos pueden hacerlo; para ello, use los distintos modos de RBAC de Kubernetes o Azure RBAC disponibles en las áreas de trabajo de Log Analytics.
- En el caso de las consultas que incluyen datos de varias áreas de trabajo, la consulta solo se capturará en las áreas de trabajo a las que el usuario tenga acceso.
Costos
La extensión de diagnóstico de Azure no tiene costo, pero puede incurrir en cargos por los datos ingeridos. Compruebe la página Precios de Azure Monitor del destino en el que va a recopilar los datos.
Pasos siguientes
- Más información sobre la configuración de diagnóstico.
- Más información sobre la optimización de consultas del registro.