Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, se proporcionan detalles sobre cómo crear y configurar los valores de diagnóstico para enviar métricas, registros de recursos y el registro de actividad de la plataforma Azure a diferentes destinos.
Cada recurso de Azure necesita su propia configuración de diagnóstico, que establece los siguientes criterios:
- Orígenes: el tipo de datos de métrica y registro que se van a enviar a los destinos definidos en la configuración. Los tipos disponibles varían según el tipo de recurso.
- Destinos: uno o varios destinos a los que enviar.
Una sola configuración de diagnóstico puede definir no más de uno de cada tipo de destino. Si quiere enviar datos a más de un tipo de destino determinado (por ejemplo, dos áreas de trabajo de Log Analytics diferentes), cree varias configuraciones. Cada recurso puede tener hasta cinco configuraciones de diagnóstico.
Advertencia
Si necesita eliminar un recurso, renombrarlo, moverlo o migrarlo entre grupos de recursos o suscripciones, primero debe eliminar su configuración de diagnóstico. De lo contrario, si vuelve a crear este recurso, la configuración de diagnóstico del recurso eliminado podría incluirse con el nuevo recurso, en función de la configuración del recurso para cada recurso. Si la configuración de diagnóstico se incluye con el nuevo recurso, se reanuda la recopilación de registros de recursos tal y como se define en la configuración de diagnóstico y envía los datos de métrica y registro aplicables al destino configurado anteriormente.
Además, se recomienda eliminar la configuración de diagnóstico de un recurso que vaya a eliminar y no planear usarla de nuevo con el fin de mantener limpio el entorno.
Nota:
Los registros de recurso de Azure Monitor no garantizan ser 100 % inmunes a la pérdida de datos. Los registros de recurso se basan en una arquitectura de almacenamiento y reenvío diseñada para mover petabytes de datos por día a gran escala. Esta funcionalidad incluye la redundancia integrada y reintentos en toda la plataforma, pero no proporciona garantías transaccionales. La supervisión transaccional podría reducir la confiabilidad y el rendimiento del servicio supervisado. Además, los errores de registro transitorios deben detener el servicio ascendente cuando no se puede confirmar la entrega del registro. Siempre que el equipo de Azure Monitor pueda confirmar un origen persistente de pérdida de datos, el equipo considera la resolución y la prevención su prioridad más alta. Sin embargo, es posible que todavía se produzcan pequeñas pérdidas de datos debido a problemas de servicio temporales que no se repiten distribuidos en Azure. No es posible detectar todas estas.
El siguiente vídeo describe cómo enrutar los registros de plataforma de los recursos con una configuración de diagnóstico. El vídeo se realizó en un momento anterior. Tenga en cuenta los siguientes cambios:
- Ahora hay cuatro destinos. Puede enviar métricas y registros de plataforma a determinados asociados de Azure Monitor.
- En noviembre de 2021 se introdujo una nueva característica denominada "grupos de categorías".
En este artículo se incluye información sobre estas características más recientes.
Orígenes
Hay tres orígenes para la información de diagnóstico:
- Las métricas de la plataforma se envían automáticamente a las métricas de Azure Monitor de forma predeterminada y sin configuración. Para más información sobre las métricas admitidas, consulte Métricas admitidas con Azure Monitor.
- Los registros de plataforma proporcionan información detallada de diagnóstico y auditoría para los recursos de Azure y la plataforma Azure de la que dependen.
- Los registros de recursos no se recopilan hasta que se enrutan a un destino. Para más información sobre los registros admitidos, consulte Categorías de registro de recursos compatibles para Azure Monitor.
- El registro de actividad proporciona información sobre los recursos de fuera del recurso, como cuando se creó o eliminó el recurso. Las entradas se crean solas, pero se pueden enrutar a otras ubicaciones.
Métricas
La configuración AllMetrics enruta las métricas de la plataforma de un recurso a otros destinos. Es posible que esta opción no aparezca en todos los proveedores de recursos.
Registros de recursos
Con los registros de recursos, puede seleccionar las categorías de registro que desea enrutar de forma individual o elegir un grupo de categorías.
Grupos de categorías
Nota:
Los grupos de categorías no se aplican a todos los proveedores de recursos de métricas. Si un proveedor no los tiene disponibles en la configuración de diagnóstico de Azure Portal, tampoco estará disponible a través de plantillas de Azure Resource Manager.
Puede usar grupos de categorías para recopilar dinámicamente registros de recursos en función de agrupaciones predefinidas en lugar de seleccionar categorías de registro individuales. Microsoft define las agrupaciones para ayudar a supervisar casos de uso específicos en todos los servicios de Azure. Con el tiempo, las categorías del grupo se pueden actualizar a medida que se implantan nuevos registros o se cambian las evaluaciones. Cuando se agregan o eliminan categorías de registro de un grupo de categorías, la recopilación de registros se modifica de forma automática sin tener que actualizar la configuración de diagnóstico.
Cuando se usan grupos de categorías, se hace lo siguiente:
- Ya no puede seleccionar de forma individual los registros de recursos en función de los tipos de categoría individuales.
- Ya no puede aplicar la configuración de retención a los registros enviados a Azure Storage.
Actualmente, hay dos grupos de categorías:
- All: todos los registros de recursos que ofrece el recurso.
- Auditoría: todos los registros de recursos que registran las interacciones del cliente con los datos o la configuración del servicio. Los registros de auditoría son un intento de cada proveedor de recursos de proporcionar los datos de auditoría más destacados, pero es posible que no se le dé la importancia debida desde la perspectiva de los estándares de auditoría en función del caso de uso. Como se mencionó anteriormente, lo que se recopila es dinámico y Microsoft puede cambiarlo con el tiempo a medida que haya nuevas categorías de registro de recursos disponibles.
El grupo de categorías "Auditoría" es un subconjunto del grupo de categorías "Todos", pero Azure Portal y la API REST los consideran como configuraciones independientes. Al seleccionar el grupo de categorías "Todo", se recopilan todos los registros de auditoría, incluso si también se selecciona el grupo de categorías "Auditoría".
En la imagen siguiente se muestran los grupos de categorías de registros en la página Agregar configuración de diagnóstico .
Nota:
La habilitación de la categoría Auditoría en la configuración de diagnóstico de Azure SQL Database no activa la auditoría de la base de datos. Para habilitar la auditoría de base de datos, debe habilitarla desde la hoja de auditoría de Azure Database.
Registro de actividad
Consulte la sección Configuración del registro de actividad .
Destinos
Los registros y las métricas de plataforma se pueden enviar a los destinos enumerados en la tabla siguiente.
Para garantizar la seguridad de los datos en tránsito, todos los puntos de conexión de destino están configurados para admitir TLS 1.2.
| Destino | Descripción |
|---|---|
| Área de trabajo de Log Analytics | Las métricas se convierten en formulario de registro. Es posible que esta opción no esté disponible para todos los tipos de recursos. Si se envían al almacén de registros de Azure Monitor (que se puede buscar mediante análisis de registros), podrá integrarlas en consultas, alertas y visualizaciones con datos de registro existentes. |
| Cuenta de Azure Storage | El hecho de archivar los registros y las métricas en una cuenta de almacenamiento resulta útil para realizar auditorías, análisis estáticos o copias de seguridad. En comparación con los registros de Azure Monitor y las áreas de trabajo de Log Analytics, Azure Storage es más económico y los registros se pueden mantener de forma indefinida. |
| Azure Event Hubs | El envío de registros y métricas a Event Hubs permite transmitir datos a sistemas externos, como los SIEM de terceros y otras soluciones de Log Analytics. |
| Soluciones de asociados de Azure Monitor | Se pueden realizar integraciones especializadas entre Azure Monitor y otras plataformas de supervisión que no pertenecen a Microsoft. La integración resulta útil cuando ya se está usando uno de los asociados. |
Configuración del registro de actividad
El registro de actividad usa una configuración de diagnóstico, pero tiene su propia interfaz de usuario, ya que se aplica a toda la suscripción en lugar de a recursos individuales. La información de destino que se muestra a continuación se sigue aplicando. Para más información, consulte Registro de actividad de Azure.
Requisitos y limitaciones
En esta sección se describen los requisitos y las limitaciones.
Tiempo antes de que la telemetría llegue al destino
Una vez que haya configurado los valores de diagnóstico, los datos deberían empezar a fluir a los destinos seleccionados al cabo de 90 minutos. Al enviar registros a un área de trabajo de Log Analytics, la tabla se crea automáticamente si aún no existe. La tabla solo se crea cuando se reciben las primeras entradas del registro. Si no recibe información en un plazo de 24 horas, puede que esté experimentando uno de los siguientes problemas:
- No se generan registros.
- Algo no va bien en el mecanismo de enrutamiento subyacente.
Si experimenta un problema, puede intentar deshabilitar la configuración y volver a habilitarla. Si sigue teniendo problemas, póngase en contacto con el equipo de soporte técnico de Azure a través de Azure Portal.
Métricas como origen
Existen ciertas limitaciones a la hora de exportar métricas:
- Actualmente no se admite el envío de métricas multidimensionales a través de la configuración de diagnóstico. Las métricas con dimensiones se exportan como métricas unidimensionales planas agregadas en valores de dimensión. Por ejemplo, la métrica IOReadBytes en una cadena de bloques se puede explorar y trazar en un nivel por nodo. Sin embargo, cuando se exporta utilizando la configuración de diagnóstico, la métrica exportada muestra los bytes de lectura de todos los nodos.
- No todas las métricas se pueden exportar con la configuración de diagnóstico. Debido a limitaciones internas, no todas las métricas se pueden exportar a los registros de Azure Monitor o Log Analytics. Para obtener más información, consulte la columna Exportable en la lista de métricas admitidas.
Para solucionar estas limitaciones para métricas específicas, puede extraerlas manualmente mediante la API REST de métricas. A continuación, puede importarlos en los registros de Azure Monitor mediante la API del recopilador de datos de Azure Monitor.
Importante
La configuración de diagnóstico no admite los identificadores de recursos con caracteres no ASCII (por ejemplo, Preproduccón). Para obtener más información, consulte Solución de problemas.
Limitaciones de destino
Antes de crear la configuración de diagnóstico, debe crear todos los destinos de esta. El destino no tiene que estar en la misma suscripción que el recurso que envía los registros, siempre que el usuario que realice la configuración pueda acceder de forma adecuada al control de acceso basado en roles de Azure de ambas suscripciones. Con Azure Lighthouse, también se puede enviar una configuración de diagnóstico a un área de trabajo, una cuenta de almacenamiento o a un centro de eventos de otro inquilino de Microsoft Entra.
En la tabla siguiente se proporcionan los requisitos únicos para cada destino, incluidas las restricciones regionales.
| Destino | Requisitos |
|---|---|
| Área de trabajo de Log Analytics | No es necesario que el área de trabajo se encuentre en la misma región que el recurso que se esté supervisando. |
| Cuenta de almacenamiento | No use una cuenta de almacenamiento existente que tenga otros datos almacenados sin supervisión. La división de los tipos de datos permite controlar mejor el acceso a estos. Si va a archivar el registro de actividad y los registros de recursos juntos, puede usar esa misma cuenta de almacenamiento para mantener todos los datos de supervisión en una ubicación central. Para evitar la modificación de los datos, envíelos al almacenamiento inmutable. Establezca la directiva inmutable para la cuenta de almacenamiento tal y como se describe en Establecimiento y administración de directivas de inmutabilidad para Azure Blob Storage. Debe seguir todos los pasos que aparecen en este artículo vinculado, incluida la habilitación de las escrituras de blobs en anexos protegidos. La cuenta de almacenamiento debe estar en la misma región que el recurso que se esté supervisando, si el recurso es regional. Cuando las redes virtuales están habilitadas, la configuración de diagnósticos no puede tener acceso a las cuentas de almacenamiento. Debe habilitar Permitir que los servicios de Microsoft de confianza omitan esta configuración de firewall en las cuentas de almacenamiento para que el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a la cuenta de almacenamiento. Los puntos de conexión de zona DNS de Azure (versión preliminar) y las cuentas de almacenamiento Premium no se admiten como destinos de registro o métricas. Se admiten todas las cuentas de almacenamiento estándar . |
| Event Hubs | La directiva de acceso compartido del espacio de nombres define los permisos que tiene el mecanismo de transmisión. Para transmitir a Event Hubs, se necesitan permisos de administración, envío y escucha. Para actualizar la configuración de diagnóstico para incluir la transmisión, debe tener el permiso ListKey sobre esa regla de autorización de Event Hubs. El espacio de nombres del centro de eventos debe estar en la misma región que el recurso que se está supervisando, si este es regional. La configuración de diagnósticos no puede tener acceso a los recursos de Event Hubs cuando están habilitadas las redes virtuales. Debe habilitar Permitir que los servicios de Microsoft de confianza omitan esta configuración de firewall en Event Hubs para que el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a los recursos de Event Hubs. |
| Soluciones para asociados | Las soluciones varían según el asociado. Consulte la documentación de Azure Native ISV Services para obtener más información. |
Registros de diagnóstico para Application Insights
Si desea almacenar registros de diagnóstico para Application Insights en un área de trabajo de Log Analytics, no envíe los registros a la misma área de trabajo en la que se basa el recurso de Application Insights. Esta configuración puede hacer que se muestre telemetría duplicada, puesto que Application Insights ya almacena estos datos. Envíe los registros de Application Insights a un área de trabajo de Log Analytics diferente.
Al enviar registros de Application Insights a un área de trabajo diferente, tenga en cuenta que Application Insights accede a la telemetría entre los recursos de Application Insights, incluidas varias áreas de trabajo de Log Analytics. Restrinja el acceso del usuario de Application Insights solo al área de trabajo de Log Analytics vinculada con el recurso de Application Insights. Establezca el modo de control de acceso en Requiere permisos de área de trabajo y administre permisos mediante el control de acceso basado en rol de Azure para asegurarse de que Application Insights solo tiene acceso al área de trabajo de Log Analytics en la que se basa el recurso de Application Insights.
Controlar los costos
Se aplican costos por recopilar datos en un área de trabajo de Log Analytics, por lo que solo se recopilan las categorías que necesita para cada servicio. El volumen de datos de los registros de recursos varía significativamente entre los servicios.
También es posible que no quiera recopilar las métricas de plataforma de los recursos de Azure, ya que estos datos ya se recopilan en las métricas. Solo configure sus datos de diagnóstico para recopilar métricas si necesita datos de métricas en el área de trabajo para un análisis más complejo con consultas de registro. La configuración de diagnóstico no permite el filtrado granular de los registros de recursos.
Sugerencia
Para conocer las estrategias para reducir los costos de Azure Monitor, consulte Optimización de costos y Azure Monitor.
Solución de problemas
No se admite la categoría de métricas
Al implementar una configuración de diagnóstico, recibes un mensaje de error similar a la categoría de métrica "xxxx" no es compatible. Puede recibir este error aunque su implementación anterior se haya completado correctamente.
El problema se produce al usar una plantilla de Resource Manager, la API de REST, la CLI de Azure o Azure PowerShell. La configuración de diagnóstico creada a través de Azure Portal no se ve afectada, ya que solo se presentan los nombres de categoría admitidos.
No se admiten categorías de métricas distintas de AllMetrics, excepto un número limitado de servicios de Azure. Anteriormente, se omitían otros nombres de categoría al implementar una configuración de diagnóstico, redirigiéndolos a AllMetrics. A partir de febrero de 2021, la categoría métrica proporcionada está validada. Este cambio provocó un error en algunas implementaciones.
Para corregir este problema, actualice las implementaciones para quitar cualquier nombre de categoría de métrica distinto de AllMetrics. Si la implementación agrega varias categorías, use solo una categoría AllMetrics. Si sigue teniendo el problema, póngase en contacto con el equipo de soporte técnico de Azure a través de Azure Portal.
La configuración desaparece debido a caracteres no ASCII en resourceID
La configuración de diagnóstico no admite los identificadores de recursos con caracteres no ASCII (por ejemplo, Preproduccón). Puesto que no puede cambiar el nombre de los recursos en Azure, debe crear un nuevo recurso sin caracteres que no sean ASCII. Si los caracteres están en un grupo de recursos, puede mover los recursos a un nuevo grupo.
Posibilidad de datos duplicados o eliminados
Se realizan todos los esfuerzos para garantizar que todos los datos de registro se envían correctamente a sus destinos; sin embargo, no es posible garantizar la transferencia de datos del 100 % de los registros entre puntos de conexión. Los reintentos y otros mecanismos están implementados para solucionar estos problemas e intentar asegurarse de que los datos de registro llegan al punto de conexión.
Recursos inactivos
Cuando un recurso está inactivo y se exportan métricas de valor cero, el mecanismo de exportación de configuración de diagnóstico retrocede de forma incremental para evitar costos innecesarios de exportación y almacenamiento de valores cero. El retroceso puede provocar un retraso en la exportación del siguiente valor distinto de cero.
Cuando un recurso está inactivo durante una hora, el mecanismo de exportación tiene un retroceso de 15 minutos. Esto significa que hay una latencia potencial de hasta 15 minutos para que se exporte el siguiente valor distinto de cero. El tiempo máximo de retroceso de dos horas se alcanza después de siete días de inactividad. Una vez que el recurso comienza a exportar valores distintos de cero, el mecanismo de exportación vuelve a la latencia de exportación original de tres minutos.
Este comportamiento solo se aplica a las métricas exportadas y no afecta a las alertas basadas en métricas ni al escalado automático.
¿Por qué veo telemetría duplicada en Application Insights después de habilitar la configuración de diagnóstico?
Al habilitar la configuración de diagnóstico para exportar datos de Application Insights basados en áreas de trabajo a cualquier área de trabajo de Log Analytics, incluida la misma que ya almacena datos de Application Insights, las consultas devuelven resultados duplicados. Esta duplicación se produce porque la canalización predeterminada y la configuración de diagnóstico envían los mismos datos al área de trabajo.
Para evitar la telemetría duplicada, no configure la configuración de diagnóstico para enviar datos al mismo área de trabajo. Si necesita exportar datos a otra área de trabajo, use una regla de recopilación de datos (DCR) con una transformación y una tabla personalizada. Esta configuración filtra los datos antes de la ingesta y evita registros duplicados en las consultas.