Configuración de diagnóstico en Azure Monitor

En este artículo, se proporcionan detalles sobre cómo crear y configurar los valores de diagnóstico para enviar métricas, registros de recursos y el registro de actividad de la plataforma Azure a diferentes destinos.

Cada recurso de Azure necesita su propia configuración de diagnóstico, que establece los siguientes criterios:

  • Orígenes: tipo de métrica y datos de registro que se envían a los destinos definidos en la configuración. Los tipos disponibles varían según el tipo de recurso.
  • Destinos: uno o más destinos a los que enviar.

Cada configuración de diagnóstico puede definir un único destino. Si quiere enviar datos a más de un tipo de destino determinado (por ejemplo, dos áreas de trabajo de Log Analytics diferentes), cree varias configuraciones. Cada recurso puede tener hasta cinco configuraciones de diagnóstico.

Advertencia

Si necesita eliminar un recurso, renombrarlo, moverlo o migrarlo entre grupos de recursos o suscripciones, primero debe eliminar su configuración de diagnóstico. De lo contrario, si vuelve a crear este recurso, la configuración de diagnóstico del recurso eliminado podría incluirse con el nuevo recurso, en función de la configuración del recurso para cada recurso. Si la configuración de diagnóstico se incluye con el nuevo recurso, se reanuda la recopilación de registros de recursos tal y como se define en la configuración de diagnóstico y envía los datos de métrica y registro aplicables al destino configurado anteriormente.

Además, se recomienda eliminar la configuración de diagnóstico de un recurso que vaya a eliminar y no planear usarla de nuevo con el fin de mantener limpio el entorno.

El siguiente vídeo describe cómo enrutar los registros de plataforma de los recursos con una configuración de diagnóstico. El vídeo se realizó en un momento anterior. Tenga en cuenta los siguientes cambios:

  • Ahora hay cuatro destinos. Puede enviar métricas y registros de plataforma a determinados asociados de Azure Monitor.
  • En noviembre de 2021 se introdujo una nueva característica denominada "grupos de categorías".

En este artículo se incluye información sobre estas características más recientes.

Orígenes

Hay tres orígenes para la información de diagnóstico:

  • Las métricas de plataforma se envían automáticamente a las métricas de Azure Monitor, de manera predeterminada y sin configurar.
  • Los registros de plataforma proporcionan información detallada de diagnóstico y auditoría de los recursos de Azure y la plataforma Azure de la que dependen.
    • Los registros de recursos no se recopilan hasta que se enrutan a un destino.
    • El registro de actividad proporciona información sobre los recursos externa a ellos, por ejemplo, cuándo se creó o eliminó el recurso. Las entradas se crean solas, pero se pueden enrutar a otras ubicaciones.

Métricas

La configuración AllMetrics enruta las métricas de plataforma de un recurso a otros destinos. Es posible que esta opción no aparezca en todos los proveedores de recursos.

Registros del recurso

Con los registros de recursos, puede seleccionar las categorías de registro que desea enrutar de forma individual o elegir un grupo de categorías.

Grupos de categorías

Nota:

Los grupos de categorías no se aplican a todos los proveedores de recursos de métricas. Si un proveedor no los tiene disponibles en la configuración de diagnóstico de Azure Portal, tampoco estará disponible a través de plantillas de Azure Resource Manager.

Los grupos de categorías permiten recopilar de forma dinámica registros de recursos basados en agrupaciones definidas previamente, en lugar de seleccionar categorías de registro individuales. Microsoft define las agrupaciones para ayudar a supervisar casos de uso específicos en todos los servicios de Azure. Con el tiempo, las categorías del grupo se pueden actualizar a medida que se implantan nuevos registros o se cambian las evaluaciones. Cuando se agregan o eliminan categorías de registro de un grupo de categorías, la recopilación de registros se modifica de forma automática sin tener que actualizar la configuración de diagnóstico.

Cuando se usan grupos de categorías, se hace lo siguiente:

  • Ya no puede seleccionar de forma individual los registros de recursos en función de los tipos de categoría individuales.
  • Ya no puede aplicar la configuración de retención a los registros enviados a Azure Storage.

Actualmente, hay dos grupos de categorías:

  • Todos: cada registro de recursos que ofrece el recurso.
  • Auditoría: todos los registros de recursos que registran las interacciones de los clientes con los datos o la configuración del servicio. Los registros de auditoría son un intento de cada proveedor de recursos de proporcionar los datos de auditoría más destacados, pero es posible que no se le dé la importancia debida desde la perspectiva de los estándares de auditoría en función del caso de uso. Como se mencionó anteriormente, lo que se recopila es dinámico y Microsoft puede cambiarlo con el tiempo a medida que haya nuevas categorías de registro de recursos disponibles.

El grupo de categorías "Auditoría" es un subconjunto del grupo de categorías "Todos", pero Azure Portal y la API REST los consideran como configuraciones independientes. Al seleccionar el grupo de categorías "Todo", se recopilan todos los registros de auditoría, incluso si también se selecciona el grupo de categorías "Auditoría".

En la imagen siguiente se muestran los grupos de categorías de registros en la página para agregar la configuración de diagnóstico.

A screenshot showing the logs category groups.

Nota:

Al habilitar la Auditoría para Azure SQL Database no se habilita la auditoría para Azure SQL Database. Para habilitar la auditoría de base de datos, debe habilitarla desde la hoja de auditoría de Azure Database.

Registro de actividades

Consulte la sección Configuración del registro de actividad.

Destinos

Los registros y las métricas de plataforma se pueden enviar a los destinos enumerados en la tabla siguiente.

Para garantizar la seguridad de los datos en tránsito, todos los puntos de conexión de destino están configurados para admitir TLS 1.2.

Destination Descripción
Área de trabajo de Log Analytics Las métricas se convierten en formulario de registro. Es posible que esta opción no esté disponible para todos los tipos de recursos. Si se envían al almacén de registros de Azure Monitor (que se puede buscar mediante análisis de registros), podrá integrarlas en consultas, alertas y visualizaciones con datos de registro existentes.
Cuenta de Azure Storage El hecho de archivar los registros y las métricas en una cuenta de almacenamiento resulta útil para realizar auditorías, análisis estáticos o copias de seguridad. En comparación con los registros de Azure Monitor y las áreas de trabajo de Log Analytics, Azure Storage es más económico y los registros se pueden mantener de forma indefinida.
Azure Event Hubs El envío de registros y métricas a Event Hubs permite transmitir datos a sistemas externos, como los SIEM de terceros y otras soluciones de Log Analytics.
Soluciones de partners de Azure Monitor Se pueden realizar integraciones especializadas entre Azure Monitor y otras plataformas de supervisión que no pertenecen a Microsoft. La integración resulta útil cuando ya se está usando uno de los asociados.

Configuración del registro de actividad

El registro de actividad usa una configuración de diagnóstico, pero tiene su propia interfaz de usuario, ya que se aplica a toda la suscripción en lugar de a recursos individuales. La información de destino que se muestra a continuación se sigue aplicando. Para obtener más información, consulte Registro de actividad de Azure.

Limitaciones y requisitos

En esta sección se describen los requisitos y las limitaciones.

Tiempo antes de que la telemetría llegue al destino

Una vez que haya configurado los valores de diagnóstico, los datos deberían empezar a fluir a los destinos seleccionados al cabo de 90 minutos. Al enviar registros a un área de trabajo de Log Analytics, la tabla se crea automáticamente si aún no existe. La tabla solo se crea cuando se reciben las primeras entradas del registro. Si no recibe información en un plazo de 24 horas, puede que esté experimentando uno de los siguientes problemas:

  • No se generan registros.
  • Algo no va bien en el mecanismo de enrutamiento subyacente.

Si experimenta un problema, puede intentar deshabilitar la configuración y volver a habilitarla. Si sigue teniendo problemas, póngase en contacto con el equipo de soporte técnico de Azure a través de Azure Portal.

Métricas como origen

Existen ciertas limitaciones a la hora de exportar métricas:

  • Actualmente no se admite el envío de métricas de varias dimensiones a través de la configuración de diagnóstico. Las métricas con dimensiones se exportan como métricas unidimensionales planas agregadas en valores de dimensión. Por ejemplo, la métrica IOReadBytes de una cadena de bloques se puede consultar y representar de forma individual en cada nodo. Sin embargo, cuando se exporta utilizando la configuración de diagnóstico, la métrica exportada muestra los bytes de lectura de todos los nodos.
  • No todas las métricas son exportables con la configuración de diagnóstico. Debido a limitaciones internas, no todas las métricas se pueden exportar a los registros de Azure Monitor o Log Analytics. Para obtener más información, consulte la columna exportable en la lista de métricas admitidas.

Para evitar estas limitaciones de métricas específicas, puede extraerlas manualmente mediante la API de REST de métricas. Después, puede importarlas a registros de Azure Monitor mediante la API del recopilador de datos de Azure Monitor.

Limitaciones de destino

Antes de crear la configuración de diagnóstico, debe crear todos los destinos de esta. El destino no tiene que estar en la misma suscripción que el recurso que envía los registros, siempre que el usuario que realice la configuración pueda acceder de forma adecuada al control de acceso basado en roles de Azure de ambas suscripciones. Con Azure Lighthouse, también se puede enviar una configuración de diagnóstico a un área de trabajo, una cuenta de almacenamiento o a un centro de eventos de otro inquilino de Microsoft Entra.

En la tabla siguiente se proporcionan los requisitos únicos para cada destino, incluidas las restricciones regionales.

Destination Requisitos
Área de trabajo de Log Analytics No es necesario que el área de trabajo se encuentre en la misma región que el recurso que se esté supervisando.
Cuenta de almacenamiento No use una cuenta de almacenamiento existente que tenga otros datos almacenados sin supervisión. La división de los tipos de datos permite controlar mejor el acceso a estos. Si va a archivar el registro de actividad y los registros de recursos juntos, puede usar esa misma cuenta de almacenamiento para mantener todos los datos de supervisión en una ubicación central.

Para evitar la modificación de los datos, envíelos al almacenamiento inmutable. Establezca la directiva de inmutabilidad para la cuenta de almacenamiento, tal y como se escribe en Establecimiento y administración de directivas de inmutabilidad para Azure Blob Storage. Debe seguir todos los pasos que aparecen en este artículo vinculado, incluida la habilitación de las escrituras de blobs en anexos protegidos.

La cuenta de almacenamiento debe estar en la misma región que el recurso que se esté supervisando, si el recurso es regional.

Cuando las redes virtuales están habilitadas, la configuración de diagnósticos no puede tener acceso a las cuentas de almacenamiento. Debe habilitar Permitir servicios de confianza de Microsoft para omitir esta configuración del cortafuegos en las cuentas de almacenamiento, de modo que el servicio de diagnóstico de configuración de Azure Monitor tenga acceso a su cuenta de almacenamiento.

Los puntos de conexión de zona de Azure DNS (versión preliminar) y las cuentas de almacenamiento de Azure Premium LRS (almacenamiento con redundancia local) no se admiten como destino de registro o métrica.
Event Hubs La directiva de acceso compartido del espacio de nombres define los permisos que tiene el mecanismo de transmisión. Para transmitir a Event Hubs, se necesitan permisos de administración, envío y escucha. Para actualizar la configuración de diagnóstico para incluir la transmisión, debe tener el permiso ListKey sobre esa regla de autorización de Event Hubs.

El espacio de nombres del centro de eventos debe estar en la misma región que el recurso que se está supervisando, si este es regional.

La configuración de diagnósticos no puede tener acceso a los recursos de Event Hubs cuando están habilitadas las redes virtuales. Tiene que habilitar la opción Permitir que los servicios de confianza de Microsoft para que puedan omitir esta configuración de firewall en Event Hubs, y que así el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a los recursos de Event Hubs.
Soluciones para asociados Las soluciones varían según el asociado. Consulte la documentación de Azure Native ISV Services para obtener más información.

Precaución

Si quiere almacenar los registros de diagnóstico en un área de trabajo de Log Analytics, hay dos aspectos que debe tener en cuenta para evitar ver datos duplicados en Application Insights:

  • El destino no puede ser la misma área de trabajo de Log Analytics en la que se basa el recurso de Application Insights.
  • El usuario de Application Insights no puede tener acceso a ambas áreas de trabajo. Establezca el modo de control de acceso de Log Analytics en Requiere permisos de área de trabajo. Asegúrese mediante el control de acceso basado en roles de Azure de que el usuario solo tiene acceso al área de trabajo de Log Analytics en la que se basa el recurso de Application Insights.

Estos pasos son necesarios porque Application Insights accede a la telemetría entre los recursos de Application Insights, incluidas las áreas de trabajo de Log Analytics, para proporcionar operaciones de transacción de un extremo a otro completas y asignaciones de aplicaciones precisas. Dado que los registros de diagnóstico usan los mismos nombres de tabla, se puede mostrar la telemetría duplicada si el usuario tiene acceso a varios recursos que contienen los mismos datos.

Controlar los costos

Se aplican costos por recopilar datos en un área de trabajo de Log Analytics, por lo que solo se recopilan las categorías que necesita para cada servicio. El volumen de datos de los registros de recursos varía significativamente entre los servicios.

También es posible que no quiera recopilar las métricas de plataforma de los recursos de Azure, ya que estos datos ya se recopilan en las métricas. Solo configure sus datos de diagnóstico para recopilar métricas si necesita datos de métricas en el área de trabajo para un análisis más complejo con consultas de registro. La configuración de diagnóstico no permite el filtrado granular de los registros de recursos.

Sugerencia

Para descubrir estrategias que le ayudarán a reducir los costes de Azure Monitor, consulte Optimización de costes y Azure Monitor.

Pasos siguientes