Registro de actividad en Azure Monitor

Azure Monitor registra las operaciones de administración de los recursos de Azure a través de la característica de registro de actividad. El registro de actividad registra operaciones como la creación de una máquina virtual, el cambio de una directiva de acceso del almacén de claves o los errores de implementación de Resource Manager. Estas operaciones de administración también se denominan operaciones del plano de control . Use el registro de actividad para revisar o auditar esta información, o cree una alerta para recibir una notificación proactiva cuando se produzca un evento.

A diferencia del registro de actividad, los registros de recursos Azure capturan data plane las operaciones realizadas en un recurso. Por ejemplo, estas operaciones incluyen obtener un secreto de un almacén de claves o realizar una solicitud a una base de datos. Los registros de recursos no se recopilan de forma predeterminada y requieren configuración con una configuración de diagnóstico.

Sugerencia

Si un error de operación de implementación le dirige a este artículo, consulte Solución de errores comunes de implementación de Azure.

Entradas del registro de actividad

Azure Monitor recopila entradas del registro de actividad de forma predeterminada sin ninguna configuración necesaria. El sistema genera estas entradas y no puede cambiarlas ni eliminarlas. Las entradas suelen derivar de cambios (operaciones de creación, actualización y eliminación) o de una acción que se está iniciando. El registro de actividad no suele capturar operaciones de lectura.

Las entradas del registro de actividad suelen estar disponibles para el análisis y las alertas en un plazo de 3 a 20 minutos después de que se produzca el evento. Para obtener una descripción de las categorías del registro de actividad, consulte Azure esquema de eventos del registro de actividad.

Período de retención

Azure conserva los eventos del registro de actividad durante 90 días y, a continuación, los elimina. No se le aplican cargos por las entradas durante este tiempo, independientemente del volumen. Para obtener más funcionalidad, como la retención más larga, cree una configuración de diagnóstico y recopile las entradas en otra ubicación en función de sus necesidades. Una de las razones más comunes para ampliar el período de retención es conservar la información del creador de recursos, que solo está disponible en el registro de actividad.

Visualización y recuperación del registro de actividad

Vea los eventos del registro de actividad para una suscripción, un grupo de recursos o un recurso individual. Utiliza el portal de Azure o consúltalas mediante programación usando la API REST del registro de actividad.

El portal de Azure proporciona el panel Activity log desde la mayoría de los menús de servicio. Cada una de estas áreas también admite el acceso mediante programación con REST o a través de CLI de Azure y comandos de Azure PowerShell específicos.

Especifique un intervalo de tiempo de eventos para recuperar. Para recuperar eventos mediante la API REST, debe incluir el $filter parámetro junto con al menos un eventTimestamp valor inicial. De forma predeterminada, el registro de actividad conserva los eventos durante 90 días. Asegúrese de que tanto el inicio como el final del intervalo de tiempo se encuentran dentro de esa ventana de 90 días.

Escenarios de acceso al registro de actividad

En las secciones siguientes se presentan escenarios comunes que muestran diferentes formas de acceder a los eventos del registro de actividad y recuperar a través del portal de Azure, mediante programación mediante CLI de Azure y Azure PowerShell, o con llamadas REST:

Ejemplos del portal de Azure proporcionan contexto adicional sobre qué tipo de eventos esperar en esa vista.
CLI de Azure ejemplos resaltan los comandos específicos disponibles a través del comando az monitor activity-log list.
Azure PowerShell ejemplos resaltan los cmdlets específicos disponibles a través del commandlet Get-AzActivityLog.

Los ejemplos de API REST muestran cómo recuperar eventos utilizando el parámetro requerido $filter con la API REST del registro de actividad.

El ejemplo Enumerar eventos del registro de actividad de un grupo de recursos también muestra cómo establecer explícitamente en el cliente un tiempo de espera, para ajustarlo al tiempo de espera máximo de 75 segundos de la API de REST del registro de actividad mediante el encabezado Prefer.

Patrones admitidos `$filter`	Detalles
suscripción predeterminada con un intervalo de tiempo	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'`
Grupo de recursos	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'`
recurso específico	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceUri eq '{resourceURI}'`
proveedor de recursos	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceProvider eq '{resourceProviderName}'`
id. de correlación	`$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and correlationId eq '{correlationID}'`

Listar eventos del registro de actividad de una suscripción

Los eventos de nivel de suscripción capturan los eventos creados directamente por los proveedores de recursos y es el ámbito predeterminado para enumerar los eventos del registro de actividad. Los eventos de inquilino y de grupo de administración solo capturan eventos de Azure Resource Manager en esas jerarquías. Estos ámbitos de nivel superior no incluyen eventos generados directamente por proveedores de recursos fuera de las operaciones de Azure Resource Manager.

En el ejemplo siguiente se recuperan los eventos del registro de actividad de una suscripción durante un intervalo de tiempo específico.

El menú desde el que abre registro de actividad determina su filtro inicial. Si lo abre en el menú Supervisión , el único filtro seleccionado de forma predeterminada es la suscripción. Esto es lo mismo que abrirlo desde Suscripciones>, seleccione > de suscripción.

Use el comando az monitor activity-log list CLI de Azure para recuperar los eventos del registro de actividad de una suscripción en un intervalo de tiempo especificado. De forma predeterminada, este comando recupera eventos de la suscripción establecida actualmente en el contexto de CLI de Azure. Para especificar explícitamente una suscripción, use el --subscription parámetro como se muestra en los ejemplos siguientes.

Intervalo de tiempo explícito:

CLI de Azure admite el mismo tipo de intervalo de tiempo explícito que REST mediante --start-time y --end-time:

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-14T23:59:59Z"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --start-time "$startTime" \
  --end-time "$endTime"

Intervalo de tiempo relativo:

CLI de Azure también admite intervalos de tiempo relativos mediante --offset. Por ejemplo, --offset 14d devuelve eventos de los últimos 14 días:

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
offset="14d"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --offset "$offset"

Nota:

CLI de Azure comandos usan el punto de conexión de Azure Resource Manager desde el contexto actual de la CLI, por lo que no es necesario especificar management.azure.com en la sintaxis del comando.

Azure PowerShell proporciona el cmdlet Get-AzActivityLog para recuperar eventos de registro de actividad para una suscripción en un intervalo de tiempo especificado.

Intervalo de tiempo explícito:

Azure PowerShell admite la especificación de un intervalo de tiempo exacto mediante StartTime y EndTime, similar a REST:

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$startTime = [datetime]"2026-04-01T00:00:00Z"
$endTime = [datetime]"2026-04-14T23:59:59Z"

Set-AzContext -Subscription $subscriptionId

$getAzActivityLogParams = @{
    StartTime = $startTime
    EndTime   = $endTime
}

Get-AzActivityLog @getAzActivityLogParams

Intervalo de tiempo relativo:

Azure PowerShell también admite consultar un intervalo de tiempo relativo mediante expresiones Get-Date para StartTime y EndTime. En el ejemplo siguiente se devuelven eventos de los últimos 14 días, finalizando en el momento en que se ejecuta el comando:

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$lookbackDays = 14

Set-AzContext -Subscription $subscriptionId

$getAzActivityLogParams = @{
    StartTime = (Get-Date).AddDays(-$lookbackDays)
    EndTime   = Get-Date
}

Get-AzActivityLog @getAzActivityLogParams

Nota:

Azure PowerShell cmdlets usan el punto de conexión de Azure Resource Manager desde el contexto actual de Az, por lo que no es necesario especificar management.azure.com en la sintaxis del cmdlet.

Para enumerar los eventos del registro de actividad, use esta GET solicitud para la API REST del registro de actividad.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'

Enumeración de eventos de registro de actividad para un grupo de recursos

Agregue resourceGroupName al $filter para definir el ámbito de los resultados del registro de actividad de Azure Monitor a un grupo de recursos específico.

El menú desde el que abre registro de actividad determina su filtro inicial. Si lo abre desde el menú de un recurso, el filtro se establecerá en ese recurso. Seleccione Agregar filtro para agregar más propiedades al filtro. Estas son las otras propiedades que puede filtrar en el portal:

Resource: elementos que forman parte de la solución de Azure, como una base de datos o una máquina virtual.
Tipo de recurso : categoría a la que pertenece un recurso, como máquinas virtuales, aplicaciones web o bases de datos.
Operation: acción o comando, como crear, eliminar y escribir, que afecta a los recursos de Azure Resource Manager.
Evento iniciado por : filtre los eventos por la identidad que inició el evento.
Categoría de evento : filtre los tipos de eventos para determinadas operaciones.

Nota:

El encabezado REST Prefer: wait=75 no tiene un equivalente directo en el comando CLI de Azure para esta operación. Este comando emite la consulta directamente y devuelve los registros de registro de actividad coincidentes.

Use el comando az monitor activity-log list para recuperar los eventos del registro de actividad con ámbito a un grupo de recursos. Los comandos de CLI de Azure específicos reducen la complejidad de la llamada a la API REST equivalente.

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
resourceGroupName="myResourceGroup"
offset="30d"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --resource-group "$resourceGroupName" \
  --offset "$offset"

Nota:

El encabezado REST Prefer: wait=75 no tiene un equivalente directo en el cmdlet Azure PowerShell para esta operación. Este comando emite la consulta directamente y devuelve los registros de registro de actividad coincidentes.

Azure PowerShell proporciona el cmdlet Get-AzActivityLog para recuperar eventos del registro de actividad cuyo ámbito es un grupo de recursos a lo largo de un intervalo de tiempo relativo.

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$resourceGroupName = "myResourceGroup"
$lookbackDays = 30

Set-AzContext -Subscription $subscriptionId

$getAzActivityLogParams = @{
    ResourceGroupName = $resourceGroupName
    StartTime         = (Get-Date).AddDays(-$lookbackDays)
    EndTime           = Get-Date
}

Get-AzActivityLog @getAzActivityLogParams

Nota:

Azure PowerShell cmdlets usan el punto de conexión de Azure Resource Manager desde el contexto actual de Az, por lo que no es necesario especificar management.azure.com en la sintaxis del cmdlet.

Para enumerar los eventos del registro de actividad específicos de un grupo de recursos mediante la API REST de Azure Resource Manager, utilice una solicitud GET con una $filter que incluya tanto el intervalo de tiempo como la propiedad resourceGroupName. Opcionalmente, incluya el Prefer encabezado para especificar un tiempo de espera específico para la solicitud ( 75 tiempo máximo de espera en segundos).

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}' and resourceGroupName eq '{resourceGroupName}'
Prefer: wait=75

Devolver propiedades específicas del registro de actividad

Use un parámetro para devolver solo las propiedades especificadas, lo que reduce el tamaño de la carga de respuesta. Para obtener más información, consulte Descripciones de propiedades del esquema del registro de actividad.

El portal de Azure no proporciona una manera de limitar las propiedades devueltas directamente de los eventos del registro de actividad. Para reducir la cantidad de datos vistos, use la opción Editar columnas de la hoja Registro de actividad para seleccionar qué columnas se muestran en la vista del portal.

Use el comando az monitor activity-log list con el --select parámetro para especificar qué propiedades se van a devolver de los eventos del registro de actividad.

Use el --max-events parámetro de az monitor activity-log list para limitar el número de registros devueltos.

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
offset="30d"
maxEvents=100
selectFields=(
  eventName
  operationName
  status
  eventTimestamp
  correlationId
  submissionTimestamp
  level
)

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --offset "$offset" \
  --max-events "$maxEvents" \
  --select "${selectFields[@]}"

Limite las propiedades devueltas de los eventos del registro de actividad en Azure PowerShell canalizando los resultados de Get-AzActivityLog a Select-Object y especificando las propiedades que desea devolver. Esto no reduce el tamaño de respuesta de la API, ya Select-Object que solo filtra las propiedades de la salida que muestra PowerShell.

Use el -MaxRecord parámetro de Get-AzActivityLog para limitar el número de registros devueltos.

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$lookbackDays = 30
$maxRecord = 100
$selectProperties = @(
    "EventName"
    "OperationName"
    "Status"
    "EventTimestamp"
    "CorrelationId"
    "SubmissionTimestamp"
    "Level"
)

Set-AzContext -Subscription $subscriptionId

$activityLogParams = @{
    StartTime = (Get-Date).AddDays(-$lookbackDays)
    EndTime   = Get-Date
    MaxRecord = $maxRecord
}

Get-AzActivityLog @activityLogParams |
    Select-Object -Property $selectProperties

Para enumerar los eventos del registro de actividad con solo propiedades específicas devueltas mediante la API REST de Azure Resource Manager, incluya el parámetro de consulta $select en la solicitud de GET con una lista separada por comas de las propiedades que desea devolver.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'&$select=eventName,operationName,status,eventTimestamp,correlationId,submissionTimestamp,level

Enumeración de eventos de registro de actividad de nivel de inquilino

Los eventos de registro de actividad de nivel de inquilino suelen tener entradas limitadas, pero pueden incluir eventos importantes, como la creación de grupos de administración o suscripciones. Estos eventos son independientes de los eventos del registro de actividad de nivel de suscripción, pero pueden contener eventos de administración de recursos duplicados.

Las consultas en este ámbito utilizan una API REST diferente a la API de eventos del registro de actividad a nivel de suscripción. CLI de Azure y Azure PowerShell no proporcionan comandos dedicados.

Vaya a Monitor>Activity log en el portal de Azure. Cambie el menú desplegable Actividad y seleccione Actividad de directorio.

Un comando CLI de Azure dedicado no está disponible para eventos de registro de actividad de nivel de inquilino. En el ejemplo siguiente se llama directamente a la API REST mediante az rest:

apiVersion="2015-04-01"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-30T23:59:59Z"
providers="Microsoft.Insights/eventtypes/management/values"
resourceId="/providers/$providers"
filter="eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

az rest \
  --method get \
  --uri "$resourceId?api-version=$apiVersion&\$filter=$filter"

Un cmdlet de PowerShell dedicado no está disponible para eventos de registro de actividad a nivel de inquilino. En el ejemplo siguiente se llama directamente a la API REST mediante Invoke-AzRestMethod:

$apiVersion = "2015-04-01"
$startTime = "2026-04-01T00:00:00Z"
$endTime = "2026-04-30T23:59:59Z"
$providers = "Microsoft.Insights/eventtypes/management/values"
$resourceId = "/providers/$providers"
$filter = "eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

$invokeAzRestMethodParams = @{
    Path   = "$resourceId?api-version=$apiVersion&`$filter=$filter"
    Method = "GET"
}

Invoke-AzRestMethod @invokeAzRestMethodParams

Para enumerar eventos de registro de actividad de nivel de inquilino, use esta GET solicitud. Tenga en cuenta que esta solicitud tiene como destino el endpoint del registro de actividad a nivel de entidad, que es diferente de la API de registro de actividad a nivel de suscripción.

GET https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{starTime}' and eventTimestamp le '{endTime}'

Listar eventos del registro de actividad a nivel de grupo de administración

Los eventos de registro de actividad de nivel de grupo de administración capturan eventos cuyo ámbito es un grupo de administración específico, como las asignaciones de directivas y los cambios de pertenencia a grupos de administración.

Nota:

En los ejemplos siguientes se usa la versión de la 2017-03-01-preview API, que es necesaria para las consultas de registro de actividad de nivel de grupo de administración.

Para ver los eventos del registro de actividad de nivel de grupo de administración en el portal de Azure, vaya a Grupos de administración> seleccione un grupo de administración > Registro de actividad.

Para enumerar los eventos del registro de actividad de nivel de grupo de administración, use el comando az rest CLI de Azure. Este comando llama directamente a la API REST de Azure Resource Manager para recuperar los eventos del registro de actividad limitados al grupo de administración especificado.

apiVersion="2017-03-01-preview"
managementGroupId="myManagementGroup"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-30T23:59:59Z"
providers="Microsoft.Insights/eventtypes/management/values"
resourceId="/providers/Microsoft.Management/managementGroups/$managementGroupId/providers/$providers"
filter="eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

az rest \
  --method get \
  --url "$resourceId?api-version=$apiVersion&\$filter=$filter"

Un cmdlet de PowerShell dedicado no está disponible para eventos de registro de actividad de nivel de grupo de administración. En el ejemplo siguiente se llama directamente a la API REST mediante Invoke-AzRestMethod.

$apiVersion = "2017-03-01-preview"
$managementGroupId = "myManagementGroup"
$startTime = "2026-04-01T00:00:00Z"
$endTime = "2026-04-30T23:59:59Z"
$providers = "Microsoft.Insights/eventtypes/management/values"
$resourceId = "/providers/Microsoft.Management/managementGroups/$managementGroupId/providers/$providers"
$filter = "eventTimestamp ge '$startTime' and eventTimestamp le '$endTime'"

$invokeAzRestMethodParams = @{
    Method = "GET"
    Path   = "$resourceId?api-version=$apiVersion&`$filter=$filter"
}

Invoke-AzRestMethod @invokeAzRestMethodParams

Para enumerar los eventos del registro de actividad a nivel de grupo de administración, use esta GET solicitud en la API REST de Azure Resource Manager. Reemplace {managementGroupId} por el identificador del grupo de administración que desea consultar y especifique el intervalo de tiempo en el $filter parámetro de consulta.

GET https://management.azure.com/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Insights/eventtypes/management/values?api-version={apiVersion}&$filter=eventTimestamp ge '{startTime}' and eventTimestamp le '{endTime}'

En la tabla siguiente se describen los parámetros usados en los ejemplos anteriores.

Variable	Ejemplo de valor	propósito
host	management.azure.com	Punto de conexión de ARM implícito
subscriptionId	aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e	Entrada de usuario
resourceGroupName	myResourceGroup	Entrada de usuario
managementGroupId	myManagementGroup	Entrada de usuario
apiVersion	• 2015-04-01 • 2017-03-01-preview (para el nivel de grupo de administración)	Referencia

Visualización del historial de cambios

En el caso de algunos eventos, puede ver el historial de cambios, en el que se muestran los cambios que se han producido durante la hora del evento. Seleccione un evento en el registro de actividad que desea examinar más profundamente. Seleccione la pestaña Historial de cambios para ver los cambios en el recurso hasta 30 minutos antes y después del tiempo de la operación.

Si hay algún cambio asociado al evento, el portal muestra una lista seleccionable de cambios. Al seleccionar un cambio, se abre la página Historial de cambios. En esta página, se muestran los cambios en el recurso.

En el ejemplo siguiente se muestra que la máquina virtual cambió los tamaños. La página muestra el tamaño de la máquina virtual antes del cambio y después del cambio. Para más información sobre el historial de cambios, consulte Obtención de cambios en los recursos.

Información del registro de actividad

Activity log insights es un libro de Azure Monitor que proporciona un conjunto de paneles que supervisan los cambios en los recursos y los grupos de recursos de una suscripción. Los paneles también presentan datos sobre qué usuarios o servicios realizaron actividades en la suscripción y el estado de las actividades.

Para habilitar la información del registro de actividad, exporte el registro de actividad a un área de trabajo de Log Analytics tal como se describe en Export activity log. Este proceso envía los eventos a la tabla AzureActivity, que usa la información del registro de actividad.

Puede acceder a los informes del registro de actividad a nivel de suscripción o de recurso. Para la suscripción, seleccione Información de registros de actividad en la sección Libros de Trabajo del menú Monitor.

Para un recurso individual, seleccione Información sobre registros de actividad en la sección Cuadernos del menú del recurso.

Exportar registro de actividad

Cree una configuración de diagnóstico para enviar entradas del registro de actividad a otros destinos para una funcionalidad y un tiempo de retención adicionales.

En el portal de Azure, seleccione Activity log en el menú Azure Monitor y, a continuación, seleccione Export Activity Logs. Para más información y otros métodos para crear la configuración de diagnóstico, consulte Configuración de diagnóstico en Azure Monitor. Asegúrese de deshabilitar cualquier configuración heredada para el registro de actividad.

En las secciones siguientes se proporcionan detalles sobre cada destino configurable para los registros de recursos.

Nota:

El método heredado para exportar el registro de actividad es perfiles de registro. Consulte Métodos de colección heredados.

Envíe el registro de actividad a un área de trabajo de Log Analytics para la funcionalidad siguiente:

Correlacionar los registros de actividad con otros datos de registro mediante consultas de registro.
Cree alertas de registro, que pueden usar una lógica más compleja que las alertas del registro de actividad.
Acceda a los datos del registro de actividad con Power BI.
Conservar los datos del registro de actividad durante más de 90 días.

No hay cargos de ingesta de datos para los registros de actividad. Los cargos de retención de los registros de actividad solo se aplican al período extendido más allá del período de retención predeterminado de 90 días. Puede aumentar el período de retención hasta 12 años.

Los datos del registro de actividad de un área de trabajo de Log Analytics se almacenan en una tabla denominada AzureActivity. La estructura de esta tabla varía en función de la categoría de la entrada de registro.

Por ejemplo, para ver un recuento de las entradas del registro de actividad para cada categoría, use la consulta siguiente:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos los registros de la categoría administrativa, use la consulta siguiente:

AzureActivity
| where CategoryValue == "Administrative"

Importante

En algunos casos, los valores en los campos de AzureActivity pueden tener un diferente uso de mayúsculas y minúsculas respecto a otros valores equivalentes. Al consultar datos en AzureActivity, use operadores que no distingan entre mayúsculas y minúsculas para las comparaciones de cadenas, o use una función escalar para forzar un campo a un formato uniforme antes de realizar cualquier comparación. Por ejemplo, use la función tolower() en un campo para forzar que siempre esté en minúsculas o el operador =~ al realizar una comparación de cadenas.

Envíe el registro de actividad a Azure Event Hubs para enviar entradas fuera de Azure, por ejemplo, a un SIEM de terceros u otras soluciones de análisis de registros. Los eventos del registro de actividad de Event Hubs se consumen en formato JSON con un elemento records que contiene los registros de cada carga. El esquema depende de la categoría y se describe en esquema del evento del registro de actividad de Azure.

A continuación, se muestran datos de salida de ejemplo de Event Hubs para un registro de actividad:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "aaaa0000-bb11-2222-33cc-444444dddddd",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "1003BFFD8EC002D4",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "bbbb1111-cc22-3333-44dd-555555eeeeee,aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb,cccc2222-dd33-4444-55ee-666666ffffff",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "bbbbbbbb-1111-2222-3333-cccccccccccc"
            }
        }
    ]
}

Envíe el registro de actividad a una cuenta de Azure Storage si desea conservar los datos de registro durante más de 90 días para la auditoría, el análisis estático o la copia de seguridad. Si necesita conservar los eventos durante 90 días o menos, no es necesario configurar el archivado en una cuenta de almacenamiento.

Al enviar el registro de actividad al almacenamiento, se crea un contenedor de almacenamiento en la cuenta de almacenamiento en cuanto se produce un evento. Los blobs del contenedor usan la siguiente convención de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por ejemplo, un blob determinado podría tener un nombre similar al siguiente:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada PT1H.json blob contiene un objeto JSON con eventos de archivos de registro que se recibieron durante la hora especificada en la dirección URL del blob. Durante la hora actual, los eventos se anexan al archivo PT1H.json a medida que se reciben, independientemente de cuándo se generaron. El valor de minuto de la dirección URL m=00 siempre es 00, ya que los blobs se crean por hora.

En el archivo PT1H.json, los eventos se almacenan con el siguiente formato. Este formato usa un esquema de nivel superior común, pero es único para cada categoría, tal como se describe en Esquema del registro de actividad.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportación de registros de actividad del grupo de administración

Al crear una configuración de diagnóstico para un grupo de administración, exporta Azure Monitor eventos de registro de actividad para ese grupo de administración, además de todos los grupos de administración de la jerarquía. Si varios grupos de administración de la jerarquía tienen configuraciones de diagnóstico, se recibirán eventos duplicados. Solo necesita una configuración de diagnóstico en el grupo de administración de nivel más alto para capturar todos los eventos de la jerarquía.

El grupo de administración también recopila muchos eventos iguales que cualquier suscripción debajo de él. Si tanto la suscripción como el grupo de administración tienen sus propias configuraciones de diagnóstico, se recibirán eventos duplicados. Azure Resource Manager incluye una propiedad de jerarquía al escribir eventos, pero no es un campo obligatorio. Los proveedores de recursos fuera de Azure Resource Manager no lo rellenan, por lo que sus eventos no se propagan hacia arriba en la jerarquía. Debido a esto, obtener eventos duplicados es mejor que los eventos que faltan.

Por ejemplo, si tiene MG1 que incluye MG2 con Subscription1, una configuración de diagnóstico en MG1 captura todos los eventos del registro de actividad para MG1, MG2, así como muchos de los eventos recogidos por una configuración de diagnóstico en Subscription1. En este caso, no se necesita ninguna configuración de diagnóstico en MG2, ya que simplemente recopilaría eventos duplicados.

Si tiene eventos duplicados, combínelos mediante una consulta que use un hash de todos los campos para identificar registros únicos. En el ejemplo siguiente, la consulta kusto muestra un ejemplo para los registros recopilados en un área de trabajo de Log Analytics:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Exportación del registro de actividad a un archivo

Seleccione Descargar como CSV para exportar el registro de actividad a un archivo CSV en Azure Portal.

Importante

La exportación de un gran número de entradas de registro puede tardar mucho tiempo. Para mejorar el rendimiento, reduzca el intervalo de tiempo de la exportación. En Azure Portal, establezca la configuración Timespan .

Puede exportar el registro de actividad mediante programación mediante CLI de Azure.

subscriptionId="aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
startTime="2026-04-01T00:00:00Z"
endTime="2026-04-14T23:59:59Z"
maxItems=1000
outputFile="./activity-log.json"

az monitor activity-log list \
  --subscription "$subscriptionId" \
  --start-time "$startTime" \
  --end-time "$endTime" \
  --max-items "$maxItems" \
  > "$outputFile"

Puede exportar el registro de actividad mediante programación mediante Azure PowerShell.

$subscriptionId = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
$startTime = "2026-04-01T00:00:00Z"
$endTime = "2026-04-14T23:59:59Z"
$outputFile = "./activity-log.csv"

Set-AzContext -SubscriptionId $subscriptionId

$getAzActivityLogParams = @{
    StartTime = $startTime
    EndTime   = $endTime
}

Get-AzActivityLog @getAzActivityLogParams |
    Export-Csv -Path $outputFile -NoTypeInformation

El siguiente script de PowerShell de ejemplo exporta el registro de actividad a archivos CSV en intervalos de una hora, cada uno guardado en un archivo independiente.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Identificación de la creación de recursos

Use el registro de actividad para averiguar cuándo el sistema creó un recurso y quién lo creó. El registro de actividad es el único lugar que almacena el creador de un recurso. Dado que el registro de actividad solo conserva los datos durante 90 días de forma predeterminada, debe exportar los registros a una ubicación que le permita ampliar el período de retención, como un área de trabajo de Log Analytics. A continuación, busque el creador de un recurso consultando la AzureActivity tabla. Los datos se conservan durante la duración especificada en el período de retención de esta tabla.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-05

Registro de actividad en Azure Monitor

Entradas del registro de actividad

Período de retención

Visualización y recuperación del registro de actividad

Escenarios de acceso al registro de actividad

Listar eventos del registro de actividad de una suscripción

Enumeración de eventos de registro de actividad para un grupo de recursos

Devolver propiedades específicas del registro de actividad

Enumeración de eventos de registro de actividad de nivel de inquilino

Listar eventos del registro de actividad a nivel de grupo de administración

Visualización del historial de cambios

Información del registro de actividad

Exportar registro de actividad

Exportación de registros de actividad del grupo de administración

Exportación del registro de actividad a un archivo

Identificación de la creación de recursos

Contenido relacionado

Comentarios

Recursos adicionales