Configuración de diagnóstico en Azure Monitor

Puede usar la configuración de diagnóstico en Azure Monitor para recopilar registros de recursos y enviar métricas de plataforma y el registro de actividad a varios destinos. Cree una configuración de diagnóstico independiente para cada recurso del que quiera recopilar datos. Cada configuración define los datos del recurso para recopilar y los destinos a los que se van a enviar esos datos. En este artículo se describen los detalles de la configuración de diagnóstico, incluido cómo crearlos y los destinos disponibles para enviar datos.

En el vídeo siguiente se explica cómo enrutar los registros de la plataforma de recursos con la configuración de diagnóstico. Los siguientes cambios se realizaron en la configuración de diagnóstico desde que se grabó el vídeo, pero estos temas se tratan en este artículo.

asociados de Azure Monitor
Grupos de categorías

Warning

Elimine cualquier configuración de diagnóstico de un recurso si elimina o cambia el nombre de ese recurso, o si la migra a través de grupos de recursos o suscripciones. Si no se quita la configuración de diagnóstico y se vuelve a crear este recurso, se podría aplicar cualquier configuración de diagnóstico para el recurso eliminado al nuevo. En algunos tipos de recursos, esta situación reanudaría la recopilación de registros de recursos tal como se define en la configuración de diagnóstico.

Sources

La configuración de diagnóstico puede recopilar datos de las fuentes que se encuentran en la tabla siguiente. Para más información sobre los datos que recopila cada origen y su formato en cada destino, consulte el artículo vinculado.

Origen de datos	Description
Métricas de la plataforma	Se recopilan automáticamente sin configuración. Use una configuración de diagnóstico para enviar métricas de plataforma a otros destinos.
Registro de actividad	Se recopilan automáticamente sin configuración. Use una configuración de diagnóstico para enviar entradas del registro de actividad a otros destinos.
Registros de recursos	No se recopilan de forma predeterminada. Cree una configuración de diagnóstico para recopilar registros de recursos.

Destinations

La configuración de diagnóstico envía datos a los destinos de la tabla siguiente. Para ayudar a garantizar la seguridad de los datos en tránsito, todos los puntos de conexión de destino están configurados para admitir TLS 1.2.

Una única configuración de diagnóstico no puede definir más de uno de cada destino. Si desea enviar datos a más de uno de un tipo de destino determinado (por ejemplo, dos áreas de trabajo Log Analytics), cree varias opciones de configuración. Cada recurso puede tener hasta cinco configuraciones de diagnóstico.

Los destinos que use una configuración de diagnóstico deben existir para poder crear la configuración. El destino no tiene que estar en la misma suscripción que el recurso que envía los registros, siempre que el usuario que configure esta opción tenga el control de acceso basado en roles de Azure (RBAC) adecuado para ambas suscripciones. Utilice Azure Lighthouse para incluir destinos en una entidad de Microsoft Entra diferente.

Destination	Description	Requirements
Área de trabajo de Log Analytics	Recupere datos mediante consultas de registro y libros de trabajo. Usa alertas de registro para alertar de forma proactiva sobre los datos. Para ver las tablas que usan varios recursos de Azure, consulte la referencia del registro de recursos de Azure Monitor.	Las tablas de un área de trabajo de Log Analytics se crean automáticamente cuando se envían los primeros datos al área de trabajo, por lo que solo debe existir el propio área de trabajo.
Azure Storage cuenta	Almacenar para auditoría, análisis estático o copia de seguridad. El almacenamiento puede ser menos costoso que otras opciones y se puede mantener indefinidamente. Envíe datos al almacenamiento inmutable para evitar su modificación. Establezca la directiva inmutable para la cuenta de almacenamiento tal como se describe en Configurar directivas de inmutabilidad para versiones de blobs.	Las cuentas de almacenamiento deben estar en la misma región que el recurso que está supervisando si el recurso es regional. Cuando las redes virtuales están habilitadas, la configuración de diagnósticos no puede tener acceso a las cuentas de almacenamiento. Debe habilitar Permitir que los servicios de Microsoft de confianza para omitir esta configuración de firewall en las cuentas de almacenamiento, de modo que el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a su cuenta de almacenamiento. Puntos de conexión de la zona de Azure DNS (versión preliminar) y las cuentas de almacenamiento Premium no se admiten como destinos. Se admiten todas las cuentas de almacenamiento estándar .
Azure Event Hubs	Transmita datos a sistemas externos, como soluciones de administración de eventos e información de seguridad (SIEM) que no son de Microsoft y otras soluciones de Log Analytics.	Event Hubs debe estar en la misma región que el recurso que está supervisando si el recurso es regional. No se puede usar un centro de eventos compacto porque requiere que el mensaje tenga una clave de partición, que Azure Monitor no incluye. La configuración de diagnóstico no puede acceder a event hubs cuando se habilitan las redes virtuales. Debe habilitar Allow trusted Microsoft services para omitir esta configuración de firewall en centros de eventos, de modo que el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a sus recursos del centro de eventos. La directiva de acceso compartido para un espacio de nombres de Event Hubs define los permisos que tiene el mecanismo de streaming. El streaming a event hubs requiere `Manage` permisos, `Send` y `Listen`. Para actualizar la configuración de diagnóstico para incluir streaming, debe tener el permiso `ListKey` en esa regla de autorización de Event Hubs.
soluciones de asociados de Azure Monitor	Las integraciones especializadas son posibles entre Azure Monitor y otras plataformas de supervisión que no son de Microsoft. Las soluciones varían según el asociado.	Para obtener más información, consulte la documentación de Azure Native ISV Services.

Métodos para crear una configuración de diagnóstico

Puede crear una configuración de diagnóstico mediante cualquiera de los métodos siguientes.

Para crear una configuración de diagnóstico para el registro de actividad mediante el portal de Azure, consulte Export activity log. Para crear una configuración de diagnóstico para un grupo de administración, consulte Configuración de diagnóstico del grupo de administración.

Siga estos pasos para crear una nueva configuración de diagnóstico o editar una existente en el portal de Azure:

En el menú de un recurso, en la sección Supervisión , seleccione Configuración de diagnóstico. O bien, en el menú de Azure Monitor, seleccione Settings>Configuración de diagnóstico. A continuación, seleccione el recurso.
Seleccione Agregar configuración de diagnóstico para agregar una nueva configuración o seleccione Editar configuración para editar una existente.

Es posible que necesite varias configuraciones de diagnóstico para un recurso si desea enviar a varios destinos del mismo tipo. En el ejemplo siguiente se muestra la configuración de un recurso del almacén de claves, pero la pantalla es similar para otros recursos.
Asigne un nombre descriptivo a la configuración si aún no tiene uno.

En esta captura de pantalla se muestra un almacén de claves de ejemplo. Otros tipos de recursos tienen diferentes conjuntos de categorías.
En Registros, elija un grupo de categorías o active las casillas individuales para cada categoría de datos que quiera enviar a los destinos. La lista de categorías varía para cada servicio Azure.
En Métricas, seleccione AllMetrics si desea recopilar métricas de plataforma.
En Detalles de destino, active la casilla de cada destino que quiera incluir en la configuración de diagnóstico. A continuación, proporcione los detalles de cada destino.

Si selecciona un área de trabajo de Log Analytics como destino, es posible que tenga que especificar el modo de recopilación. Para obtener más información, consulte Modo de recopilación.

Use el cmdlet New-AzDiagnosticSetting para crear una configuración de diagnóstico mediante Azure PowerShell. Para obtener descripciones de parámetros, consulte la documentación de este cmdlet.

Important

Este método no se puede usar para un registro de actividad. En su lugar, cree una plantilla Azure Resource Manager e impleméntela mediante PowerShell.

El siguiente script de PowerShell de ejemplo crea una configuración de diagnóstico para enviar todos los registros y métricas de un almacén de claves a un área de trabajo de Log Analytics:

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Use el comando az monitor diagnostic-settings create para crear una configuración de diagnóstico mediante el Azure CLI. Para obtener descripciones de parámetros, consulte la documentación de este comando.

Important

Este método no se puede usar para un registro de actividad. En su lugar, cree una plantilla Azure Resource Manager e impleméntela mediante el Azure CLI.

El script de ejemplo siguiente crea una configuración de diagnóstico que envía datos a los tres destinos. Para especificar el modo específico del recurso si el servicio lo admite, agregue el export-to-resource-specific parámetro con un valor de true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

La plantilla de ejemplo siguiente crea una configuración de diagnóstico para enviar todos los registros de auditoría a un área de trabajo de Log Analytics. El apiVersion valor puede cambiar en función del recurso del ámbito. Para obtener plantillas de ejemplo para otros recursos, consulte Resource Manager ejemplos de plantillas para la configuración de diagnóstico en Azure Monitor.

Archivo de plantilla

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "scope": {
            "type": "string"
        },
        "workspaceId": {
            "type": "string"
        },
        "settingName": {
            "type": "string"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[parameters('scope')]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": null,
                        "categoryGroup": "audit",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Archivo de parámetros

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "settingName": {
            "value": "audit3"
        },
        "workspaceId": {
            "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
        },
        "scope": {
            "value": "Microsoft.<resource type>/<resourceName>"
        }
    }
}

Archivo de plantilla

param scope string
param workspaceId string
param settingName string

resource diag 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
    name: settingName
    scope: scope
    properties: {
      workspaceId: workspaceId
      logs: [
          {
              category: null
              categoryGroup: 'audit'
              enabled: true
          }
      ]
    }
}

Archivo de parámetros

using './<template-file-name>.bicep'

param settingName = 'audit3'

param workspaceId = '/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'

param scope = 'Microsoft.<resource type>/<resourceName>

Warning

Al crear o actualizar la configuración de diagnóstico para una cuenta de almacenamiento o un espacio de nombres de Event Hubs, no puede seleccionar esa cuenta o espacio de nombres como destino para los datos de métricas o registros de recursos. Esta limitación es así por diseño. El envío de registros o métricas de recursos desde un recurso al mismo recurso generaría un bucle infinito de generación y escritura de datos.

Este diseño solo se aplica a la capa de experiencia del usuario del portal de Azure. Si realmente es necesario escribir datos en el mismo recurso y está dispuesto a aceptar los riesgos asociados, puede crear la configuración de diagnóstico mediante Azure PowerShell, el Azure CLI, la API REST, una plantilla de Resource Manager o un SDK de Microsoft compatible.

Grupos de categorías

Puede usar grupos de categorías para recopilar registros de recursos en función de agrupaciones predefinidas en lugar de seleccionar categorías de registro individuales. Microsoft define las agrupaciones para ayudar a supervisar casos de uso comunes. Si se actualizan las categorías del grupo, la recopilación de registros se modifica automáticamente.

No todos los servicios Azure usan grupos de categorías. Si los grupos de categorías no están disponibles para un recurso determinado, la opción no estará disponible al crear la configuración de diagnóstico.

Si usa grupos de categorías en una configuración de diagnóstico, no puede seleccionar tipos de categorías individuales. Actualmente, hay dos grupos de categorías:

allLogs: todas las categorías del recurso.
audit: todos los registros de recursos que registran las interacciones del cliente con los datos o la configuración del servicio. No es necesario seleccionar este grupo de categorías si selecciona el allLogs grupo de categorías.

Note

Al habilitar la categoría audit en la configuración de diagnóstico de Azure SQL Database no se activa la auditoría de la base de datos. Para habilitar la auditoría de bases de datos, debe habilitarla desde el panel auditoría para Azure SQL Database.

Limitaciones de métricas

No todas las métricas se pueden enviar a un área de trabajo de Log Analytics con la configuración de diagnóstico. Consulte la columna Exportable en la lista de métricas admitidas.

La configuración de diagnóstico no admite actualmente métricas multidimensionales. Las métricas con dimensiones se exportan como métricas unidimensionales planas y se agregan entre valores de dimensión. Por ejemplo, la IOReadBytes métrica de una cadena de bloques se puede explorar y trazar en un nivel por nodo. Cuando la métrica se exporta con la configuración de diagnóstico, muestra todos los bytes de lectura de todos los nodos.

Para sortear las limitaciones de métricas específicas, puede extraerlas manualmente mediante la API REST de métricas. Después, puede importarlos en un área de trabajo de Log Analytics mediante la API de ingesta de Logs.

Controlar los costos

Puede haber un costo para los datos que recopila la configuración de diagnóstico. El costo depende del destino que elija y del volumen de datos recopilados. Para obtener más información, consulte precios Azure Monitor.

Recopile solo las categorías que necesita para cada servicio. Es posible que tampoco quiera recopilar métricas de plataforma de recursos de Azure, ya que estos datos ya se recopilan en Metrics. Configura los datos de diagnóstico para recopilar métricas solo si necesitas métricas en tu espacio de trabajo para un análisis más complejo mediante consultas de registro.

La configuración de diagnóstico no permite el filtrado pormenorizados dentro de una categoría seleccionada. Puede filtrar los datos de las tablas admitidas en un área de trabajo de Log Analytics mediante transformaciones. Para obtener más información, consulte Transformations en Azure Monitor.

Tiempo antes de que los datos llegue a destinos

Después de crear una configuración de diagnóstico, los datos deben empezar a fluir a los destinos seleccionados en un plazo de 90 minutos. Al enviar datos a un área de trabajo de Log Analytics, la tabla se crea automáticamente si aún no existe. La tabla solo se crea cuando los destinos reciben los primeros registros de registro.

Si no recibe información en un plazo de 24 horas, es posible que esté experimentando uno de los siguientes problemas:

No se generan registros.
Algo no va bien en el mecanismo de enrutamiento subyacente.

Intente deshabilitar la configuración y vuelva a habilitarla. Si el problema continúa, póngase en contacto con Azure support a través del portal de Azure.

Application Insights

Tenga en cuenta la siguiente información para la configuración de diagnóstico para las aplicaciones de Application Insights:

El destino no puede ser el mismo espacio de trabajo de Log Analytics en el que se basa tu recurso de Application Insights.
El usuario de Application Insights no puede tener acceso a ambas áreas de trabajo. Establezca el modo de control de acceso de Log Analytics alRequiere permisos del área de trabajo. A través de Azure RBAC, asegúrese de que el usuario tiene acceso solo al área de trabajo de Log Analytics en la que se basa el recurso de Application Insights.

Estos pasos son necesarios porque Application Insights accede a los datos a través de recursos para proporcionar operaciones de transacción completas y de extremo a extremo y mapas de aplicaciones precisos. Estos recursos incluyen espacios de trabajo de Log Analytics. Dado que los registros de diagnóstico usan los mismos nombres de tabla, los datos duplicados pueden aparecer si el usuario tiene acceso a varios recursos que contienen los mismos datos.

Troubleshooting

No se admite la categoría de métricas

Es posible que reciba un mensaje de error similar a "No se admite la categoría de métrica "xxxx" cuando se usa una plantilla de Resource Manager, la API REST, el Azure CLI o Azure PowerShell. No se admiten categorías de métricas distintas de AllMetrics, excepto un número limitado de servicios de Azure. Quite los nombres de categoría de métrica que no sean AllMetrics y repita la implementación.

La configuración desaparece debido a caracteres que no son ASCII en un identificador de recurso

La configuración de diagnóstico no admite identificadores de recursos con caracteres no ASCII (por ejemplo, Preproduccón). Dado que no se puede cambiar el nombre de los recursos en Azure, debe crear un nuevo recurso sin los caracteres no ASCII. Si los caracteres están en un grupo de recursos, puede mover los recursos a un nuevo grupo.

El recurso está inactivo

Cuando un recurso está inactivo y exportando métricas de valor cero, el mecanismo de exportación de la configuración de diagnóstico vuelve a desactivarse incrementalmente para evitar costos innecesarios de exportación y almacenamiento de cero valores. Este retroceso podría provocar un retraso en la exportación del siguiente valor distinto de cero. Este comportamiento solo se aplica a las métricas exportadas y no afecta a las alertas basadas en métricas ni al escalado automático.

Cuando un recurso está inactivo durante una hora, el mecanismo de exportación tiene un retroceso de 15 minutos. Esta situación significa que hay una latencia potencial de hasta 15 minutos para que se exporte el siguiente valor distinto de cero. El recurso alcanza el tiempo máximo de retroceso de dos horas después de siete días de inactividad. Después de que el recurso empiece a exportar valores distintos de cero, el mecanismo de exportación se revierte a la latencia de exportación original de tres minutos.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-10