Configuración de diagnóstico en Azure Monitor

Artículo
03/29/2023

En este artículo, se explica cómo crear y establecer la configuración de diagnóstico para enviar métricas y registros de plataforma de Azure a diferentes destinos.

Las métricas de plataforma se envían automáticamente a las métricas de Azure Monitor, de manera predeterminada y sin configurar.

Los registros de plataforma proporcionan información detallada de diagnóstico y auditoría para los recursos de Azure y la plataforma Azure de la que dependen:

Los registros de recursos no se recopilan hasta que se enrutan a un destino.
Los Registros de actividad existen por sí solos, pero se pueden enrutar a otras ubicaciones.

Cada recurso de Azure necesita su propia configuración de diagnóstico, que establece los siguientes criterios:

Orígenes: tipo de métrica y datos de registro que se envían a los destinos definidos en la configuración. Los tipos disponibles varían según el tipo de recurso.
Destinos: uno o más destinos a los que enviar.

Cada configuración de diagnóstico puede definir un único destino. Si quiere enviar datos a más de un tipo de destino determinado (por ejemplo, dos áreas de trabajo de Log Analytics diferentes), cree varias configuraciones. Cada recurso puede tener hasta cinco configuraciones de diagnóstico.

Advertencia

Si necesita eliminar un recurso o migrarlo entre grupos de recursos o suscripciones, primero debe eliminar su configuración de diagnóstico. De lo contrario, si vuelve a crear este recurso, la configuración de diagnóstico del recurso eliminado podría incluirse con el nuevo recurso, en función de la configuración del recurso para cada recurso. Si la configuración de diagnóstico se incluye con el nuevo recurso, se reanuda la recopilación de registros de recursos tal y como se define en la configuración de diagnóstico y envía los datos de métrica y registro aplicables al destino configurado anteriormente.

Además, se recomienda eliminar la configuración de diagnóstico de un recurso que va a eliminar y no planear usarlo de nuevo para mantener limpio el entorno.

El siguiente vídeo describe cómo enrutar los registros de plataforma de los recursos con una configuración de diagnóstico. El vídeo se realizó en un momento anterior. Tenga en cuenta los siguientes cambios:

Ahora hay cuatro destinos. Puede enviar métricas y registros de plataforma a determinados asociados de Azure Monitor.
En noviembre de 2021 se introdujo una nueva característica denominada "grupos de categorías".

En este artículo se incluye información sobre estas características más recientes.

Orígenes

Hay tres orígenes para la información de diagnóstico:

Métricas
Registros de recurso
Registros de actividad

Métricas

La configuración AllMetrics enruta las métricas de plataforma de un recurso a otros destinos. Es posible que esta opción no aparezca en todos los proveedores de recursos.

Registros del recurso

Con los registros, puede seleccionar las categorías de registro que desea enrutar individualmente o elegir un grupo de categorías.

Nota

Los grupos de categorías no se aplican a todos los proveedores de recursos de métricas. Si un proveedor no los tiene disponibles en la configuración de diagnóstico de Azure Portal, tampoco estará disponible a través de plantillas de Azure Resource Manager.

Los grupos de categorías permiten recopilar de forma dinámica registros de recursos basados en agrupaciones definidas previamente, en lugar de seleccionar categorías de registro individuales. Microsoft define las agrupaciones para ayudar a supervisar casos de uso específicos en todos los servicios de Azure.

Con el tiempo, las categorías del grupo se pueden actualizar a medida que se implantan nuevos registros o se cambian las evaluaciones. Cuando se agregan o eliminan categorías de registro de un grupo de categorías, la recopilación de registros se modifica de forma automática sin tener que actualizar la configuración de diagnóstico.

Cuando se usan grupos de categorías, se hace lo siguiente:

Ya no puede seleccionar de forma individual los registros de recursos en función de los tipos de categoría individuales.
Ya no puede aplicar la configuración de retención a los registros enviados a Azure Storage.

Actualmente, hay dos grupos de categorías:

Todos: cada registro de recursos que ofrece el recurso.
Auditoría: todos los registros de recursos que registran las interacciones de los clientes con los datos o la configuración del servicio. Los registros de auditoría son un intento de cada proveedor de recursos de proporcionar los datos de auditoría más relevantes, pero es posible que no se le dé la importancia debida desde la perspectiva de los estándares de auditoría.

La categoría "Auditoría" es un subconjunto de "Todos", pero Azure Portal y la API de REST los consideran como configuraciones independientes. Al seleccionar "Todos" se recopilan todos los registros de auditoría, independientemente de si también se selecciona la categoría "Auditoría".

Nota: Al habilitar Auditoría para Azure SQL Database no se habilita la auditoría para Azure SQL Database. Para habilitar la auditoría de base de datos, debe habilitarla desde la hoja de auditoría de Azure Database.

Registro de actividades

Consulte la sección Configuración del registro de actividad.

Destinos

Los registros y las métricas de plataforma se pueden enviar a los destinos enumerados en la tabla siguiente.

Para garantizar la seguridad de los datos en tránsito, todos los puntos de conexión de destino están configurados para admitir TLS 1.2.

Destination	Descripción
Área de trabajo de Log Analytics	Las métricas se convierten en formulario de registro. Es posible que esta opción no esté disponible para todos los tipos de recursos. Si se envían al almacén de registros de Azure Monitor (que se puede buscar mediante análisis de registros), podrá integrarlas en consultas, alertas y visualizaciones con datos de registro existentes.
Cuenta de Azure Storage	El hecho de archivar los registros y las métricas en una cuenta de Azure Storage resulta útil para realizar auditorías, análisis estáticos o copias de seguridad. En comparación con los registros de Azure Monitor y las áreas de trabajo de Log Analytics, Azure Storage es más económico y los registros se pueden mantener de forma indefinida.
Azure Event Hubs	El envío de registros y métricas a Event Hubs permite transmitir datos a sistemas externos, como los SIEM de terceros y otras soluciones de Log Analytics.
Integraciones de asociados de Azure Monitor	Se pueden realizar integraciones especializadas entre Azure Monitor y otras plataformas de supervisión que no pertenecen a Microsoft. La integración resulta útil cuando ya se está usando uno de los asociados.

Configuración del registro de actividad

El registro de actividad usa una configuración de diagnóstico, pero tiene su propia interfaz de usuario, ya que se aplica a toda la suscripción en lugar de a recursos individuales. La información de destino que se muestra a continuación se sigue aplicando. Para obtener más información, consulte Registro de actividad de Azure.

Limitaciones y requisitos

En esta sección se describen los requisitos y las limitaciones.

Tiempo antes de que la telemetría llegue al destino

Una vez que haya configurado una configuración de diagnóstico, los datos deberían empezar a fluir a los destinos seleccionados en un plazo de 90 minutos. Si no obtiene información en un plazo de 24 horas, entonces tampoco

se generan registros o
algo no está funcionando en el mecanismo de enrutamiento subyacente. Pruebe deshabilitando la configuración y volviendo luego a habilitarla. Si sigue teniendo problemas, póngase en contacto con el equipo de soporte técnico de Azure a través de Azure Portal.

Métricas como origen

Existen ciertas limitaciones a la hora de exportar métricas:

Actualmente no se admite el envío de métricas multidimensionales a través de la configuración de diagnóstico: las métricas con dimensiones se exportan como métricas unidimensionales planas, que se agregan entre valores de dimensión. Por ejemplo, la métrica IOReadBytes de una cadena de bloques se puede consultar y representar de forma individual en cada nodo. Sin embargo, cuando se exporta utilizando la configuración de diagnóstico, la métrica exportada muestra los bytes de lectura de todos los nodos.
No todas las métricas pueden exportarse con la configuración de diagnóstico: debido a limitaciones internas, no todas las métricas se pueden exportar a registros de Azure Monitor o de Log Analytics. Para obtener más información, consulte la columna exportable en la lista de métricas admitidas.

Para evitar estas limitaciones de métricas específicas, puede extraerlas manualmente mediante la API de REST de métricas. Después, puede importarlas a registros de Azure Monitor mediante la API del recopilador de datos de Azure Monitor.

Limitaciones de destino

Antes de crear la configuración de diagnóstico, debe crear todos los destinos de esta. El destino no tiene que estar en la misma suscripción que el recurso que envía los registros, siempre que el usuario que realice la configuración pueda acceder de forma adecuada al control de acceso basado en roles de Azure de ambas suscripciones. Con Azure Lighthouse, también se puede enviar una configuración de diagnóstico a un área de trabajo, una cuenta de almacenamiento o a un centro de eventos de otro inquilino de Azure Active Directory.

En la tabla siguiente se proporcionan los requisitos únicos para cada destino, incluidas las restricciones regionales.

Destination	Requisitos
Área de trabajo de Log Analytics	No es necesario que el área de trabajo se encuentre en la misma región que el recurso que se esté supervisando.
Cuenta de almacenamiento	No utilice una cuenta de almacenamiento existente que tenga otros datos almacenados sin supervisión, para que así pueda controlar mejor el acceso a los datos. Si va a archivar el registro de actividad y los registros de recursos juntos, puede usar esa misma cuenta de almacenamiento para mantener todos los datos de supervisión en una ubicación central. Para enviar los datos al almacenamiento inmutable, establezca la directiva de inmutabilidad para la cuenta de almacenamiento, tal y como se escribe en Establecimiento y administración de directivas de inmutabilidad para Azure Blob Storage. Debe seguir todos los pasos que aparecen en este artículo vinculado, incluida la habilitación de las escrituras de blobs en anexos protegidos. La cuenta de almacenamiento debe estar en la misma región que el recurso que se esté supervisando, si el recurso es regional. Cuando las redes virtuales están habilitadas, la configuración de diagnósticos no puede tener acceso a las cuentas de almacenamiento. Debe habilitar Permitir servicios de confianza de Microsoft para omitir esta configuración del cortafuegos en las cuentas de almacenamiento, de modo que el servicio de diagnóstico de configuración de Azure Monitor tenga acceso a su cuenta de almacenamiento. Los puntos de conexión de zona de Azure DNS (versión preliminar) y las cuentas de almacenamiento de Azure Premium LRS (almacenamiento con redundancia local) no se admiten como destino de registro o métrica.
Event Hubs	La directiva de acceso compartido del espacio de nombres define los permisos que tiene el mecanismo de transmisión. Para transmitir a Event Hubs, se necesitan permisos de administración, envío y escucha. Para actualizar la configuración de diagnóstico para incluir la transmisión, debe tener el permiso ListKey sobre esa regla de autorización de Event Hubs. El espacio de nombres del centro de eventos debe estar en la misma región que el recurso que se está supervisando, si este es regional. La configuración de diagnósticos no puede tener acceso a los recursos de Event Hubs cuando están habilitadas las redes virtuales. Tiene que habilitar la opción Permitir que los servicios de confianza de Microsoft para que puedan omitir esta configuración de firewall en Event Hubs, y que así el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a los recursos de Event Hubs.
Integraciones de asociados	Las soluciones varían según el asociado. Consulte la documentación de integraciones de asociados de Azure Monitor para obtener más información.

Control de costos

Se aplican costos por recopilar datos en un área de trabajo de Log Analytics, por lo que solo debe recopilar las categorías que necesita para cada servicio. El volumen de datos de los registros de recursos varía significativamente entre los servicios.

También es posible que no quiera recopilar las métricas de plataforma de los recursos de Azure, ya que estos datos ya se recopilan en las métricas. Solo configure sus datos de diagnóstico para recopilar métricas si necesita datos de métricas en el área de trabajo para un análisis más complejo con consultas de registro.

La configuración de diagnóstico no permite el filtrado granular de los registros de recursos. Es posible que necesite determinados registros en una categoría determinada, pero no en otras. O bien, es posible que desee quitar columnas innecesarias de los datos. En estos casos, use transformaciones en el área de trabajo para filtrar los registros que no necesita.

También puede usar las transformaciones para reducir los requisitos de almacenamiento de los registros que quiera mediante la eliminación de columnas sin información útil. Por ejemplo, pueden producirse eventos de error en un registro de recursos que quiere para las alertas. Pero es posible que no necesite determinadas columnas de esos registros que contienen una gran cantidad de datos. Cree una transformación para esa tabla que elimine esas columnas.

Sugerencia

Para descubrir estrategias que le ayudarán a reducir los costes de Azure Monitor, consulte Optimización de costes y Azure Monitor.

Crear configuraciones de diagnóstico

Puede crear y editar la configuración de diagnóstico mediante varios métodos.

Puede realizar configuraciones de diagnóstico en Azure Portal desde el menú de Azure Monitor o desde el menú del recurso.

El lugar de Azure Portal en el que se realiza la configuración de diagnóstico depende del recurso:
- Si se trata de un único recurso, en el menú de dicho recurso, haga clic en la opción Configuración de diagnóstico en Supervisar.
- Si se trata de uno o varios recursos, en el menú de Azure Monitor, haga clic en la opción Configuración de diagnóstico que está en Configuración y después seleccione el recurso.
- En el registro de actividad, haga clic en la opción Registro de actividad del menú de Azure Monitor y después seleccione Configuración de diagnóstico. No olvide deshabilitar cualquier configuración heredada del registro de actividad. Para obtener instrucciones, consulte Deshabilitar la configuración existente.
Si no existe ninguna configuración en el recurso que ha seleccionado, se le solicitará que cree una. Seleccione Agregar configuración de diagnóstico.

Si ya hay una configuración en el recurso, verá una lista de opciones que ya están configuradas. Para agregar la nueva configuración, seleccione Agregar configuración de diagnóstico. O bien, seleccione Editar configuración para editar una existente. Cada configuración no puede tener más de uno de los tipos de destino.
Asigne un nombre a la configuración, si aún no lo tiene.
Registros y métricas para enrutar: en el caso de los registros, elija un grupo de categorías o seleccione las casillas de verificación individuales de cada categoría de datos que quiera enviar a los destinos que se especifican después. La lista de categorías es diferente en cada servicio de Azure. Seleccione AllMetrics si también quiere almacenar métricas en registros de Azure Monitor.
Detalles de destino: seleccione la casilla de verificación para cada destino. Aparecerán más opciones para que pueda agregar más información.
1. Log Analytics: introduzca la suscripción y el área de trabajo. Si no tiene una área de trabajo, deberá crear una antes de continuar.
2. Event Hubs: especifique los criterios siguientes:
  - Suscripción: suscripción de la que forma parte el centro de eventos.
  - Espacio de nombres del centro de eventos: si no tiene uno, debe crear uno.
  - El nombre del centro de eventos (opcional): nombre al que se van a enviar todos los datos. Si no especifica un nombre, se crea un centro de eventos para cada categoría de registro. Si va a enviar varias categorías, puede especificar un nombre para limitar el número de centros de eventos creados. Para obtener más información, consulte Cuotas y límites de Azure Event Hubs.
  - La directiva del centro de eventos (también opcional): una directiva que defina los permisos que tiene el mecanismo de transmisión. Para obtener más información, consulte este artículo sobre las características de Event Hubs.
3. Azure Storage: elija una suscripción, una cuenta de almacenamiento y una directiva de retención.
  
  Sugerencia
  
  Considere la posibilidad de establecer la directiva de retención en 0 y usar la directiva de ciclo de vida de Azure Storage o eliminar los datos del almacenamiento mediante un trabajo programado. Es probable que estas estrategias proporcionen un comportamiento más coherente.
  
  En primer lugar, si está usando el almacenamiento para archivar contenido, es probable que quiera conservar los datos durante más de 365 días.
  
  En segundo lugar, si elige una directiva de retención que sea mayor que 0, la fecha de expiración se adjuntará a los registros cuando se almacenen. No se puede cambiar la fecha de los registros después de almacenarlos.
  
  Por ejemplo, si establece la directiva de retención de WorkflowRuntime en 180 días y, 24 horas después, la establece en 365 días, los registros almacenados durante esas primeras 24 horas se eliminarán de forma automática a los 180 días. Todos los registros posteriores de ese tipo se eliminarán de forma automática después de 365 días. Aunque después se modifique la directiva de retención, los registros que se almacenaron durante las primeras 24 horas no se conservarán 365 días.
4. Integración de asociados: primero debe instalar una integración de asociados en la suscripción. Las opciones de configuración variarán según el asociado. Para obtener más información, consulte Integraciones de asociados de Azure Monitor.
Seleccione Guardar.

Poco después, la nueva configuración aparecerá en la lista de valores para este recurso. Los registros se transmiten a los destinos especificados a medida que se generan nuevos datos de eventos. Es posible que pasen hasta 15 minutos desde que se emite un evento hasta que aparece en un área de trabajo de Log Analytics.

Use el cmdlet New-AzDiagnosticSetting para crear una configuración de diagnóstico con Azure PowerShell. Consulte la documentación de este cmdlet para las descripciones de sus parámetros.

Importante

Este método no se puede usar para un registro de actividad. En su lugar, siga las indicaciones de Creación de la configuración de diagnóstico en Azure Monitor con una plantilla de Azure Resource Manager para crear una plantilla de Resource Manager e implementarla con PowerShell.

El siguiente cmdlet de PowerShell de ejemplo crea una configuración de diagnóstico para todos los registros y métricas de un almacén de claves mediante el área de trabajo de Log Analytics.

$KV= Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law= Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  #LAW name is case sensitive

$metric = @()
$log = @()
$metric += New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics -RetentionPolicyDay 30 -RetentionPolicyEnabled $true
$log += New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs -RetentionPolicyDay 30 -RetentionPolicyEnabled $true
$log += New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup audit -RetentionPolicyDay 30 -RetentionPolicyEnabled $true
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Use el comando az monitor diagnostic-settings create para crear una configuración de diagnóstico con la CLI de Azure. Consulte la documentación de este comando para las descripciones de sus parámetros.

Importante

Este método no se puede usar para un registro de actividad. En su lugar, siga las indicaciones de Creación de la configuración de diagnóstico en Azure Monitor con una plantilla de Resource Manager para crear una plantilla de Resource Manager e implementarla con la CLI.

El ejemplo siguiente muestra un comando de la CLI para crear una configuración de diagnóstico con los tres destinos. La sintaxis es ligeramente diferente según el cliente.

Cliente CMD

az monitor diagnostic-settings create  ^
--name KeyVault-Diagnostics ^
--resource /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mykeyvault ^
--logs    "[{""category"": ""AuditEvent"",""enabled"": true}]" ^
--metrics "[{""category"": ""AllMetrics"",""enabled"": true}]" ^
--storage-account /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount ^
--workspace /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/myresourcegroup/providers/microsoft.operationalinsights/workspaces/myworkspace ^
--event-hub-rule /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.EventHub/namespaces/myeventhub/authorizationrules/RootManageSharedAccessKey

Cliente PowerShell

az monitor diagnostic-settings create  `
--name KeyVault-Diagnostics `
--resource /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mykeyvault `
--logs    '[{""category"": ""AuditEvent"",""enabled"": true}]' `
--metrics '[{""category"": ""AllMetrics"",""enabled"": true}]' `
--storage-account /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount `
--workspace /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/myresourcegroup/providers/microsoft.operationalinsights/workspaces/myworkspace `
--event-hub-rule /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.EventHub/namespaces/myeventhub/authorizationrules/RootManageSharedAccessKey

Cliente de Bash

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--workspace /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/myresourcegroup/providers/microsoft.operationalinsights/workspaces/myworkspace \
--event-hub-rule /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myresourcegroup/providers/Microsoft.EventHub/namespaces/myeventhub/authorizationrules/RootManageSharedAccessKey

Solución de problemas

Estas son algunas sugerencias de solución de problemas.

La categoría de métrica no es compatible

Si implementa una configuración de diagnóstico, recibirá un mensaje de error similar a "No se admite la categoría de métrica xxxx". Es posible que reciba este error a pesar de que la implementación anterior se haya realizado correctamente.

El problema se produce cuando se usa una plantilla de Resource Manager, la API de REST, la CLI de Azure o Azure PowerShell. La configuración de diagnóstico que se ha creado a través de Azure Portal no se ve afectada, ya que solo se presentan los nombres de categoría admitidos.

El problema se debe a un cambio reciente en la API subyacente. Las categorías de métricas que no sean AllMetrics no se admiten y nunca se han admitido, salvo para unos servicios específicos de Azure. En el pasado, se omitieron otros nombres de categoría al implementar una configuración de diagnóstico. El back-end de Azure Monitor redirigió estas categorías a AllMetrics. A partir de febrero de 2021, el back-end se actualizó específicamente para confirmar que la categoría de métrica proporcionada es precisa. Este cambio ha provocado un error en algunas implementaciones.

Si recibe este error, actualice las implementaciones para reemplazar los nombres de categoría de métrica por AllMetrics para corregir el problema. En el supuesto de que la implementación agregara antes varias categorías, solo debe conservarse una con la referencia AllMetrics. Si sigue teniendo el problema, póngase en contacto con el equipo de soporte técnico de Azure a través de Azure Portal.

La configuración desaparece debido a caracteres que no son ASCII en resourceID

La configuración de diagnóstico no admite identificadores de recursos con caracteres que no sean ASCII. Por ejemplo, considere el término Preproducción. Puesto que no puede cambiar el nombre de los recursos en Azure, la única opción es crear un recurso sin caracteres que no sean ASCII. Si los caracteres están en un grupo de recursos, puede mover los recursos que contiene a uno nuevo. De lo contrario, deberá volver a crear el recurso.

Posibilidad de datos duplicados o eliminados

Todos los esfuerzos se realizan para garantizar que todos los datos de registro se envían correctamente a sus destinos, pero no es posible garantizar la transferencia de datos del 100 % de los registros entre puntos de conexión. Los reintentos y otros mecanismos están implementados para solucionar estos problemas e intentar asegurarse de que los datos de registro llegan al punto de conexión.

Paso siguiente

Más información sobre los registros de plataforma de Azure