Configuración de diagnóstico en Azure Monitor

La configuración de diagnóstico en Azure Monitor permite recopilar registros de recursos y enviar métricas de plataforma y el registro de actividad a diferentes destinos. Cree una configuración de diagnóstico independiente para cada recurso del que quiera recopilar datos. Cada configuración define los datos del recurso para recopilar y los destinos a los que se van a enviar esos datos. En este artículo se describen los detalles de la configuración de diagnóstico, incluido cómo crearlos y los destinos disponibles para enviar datos.

En el vídeo siguiente se explica cómo enrutar los registros de la plataforma de recursos con la configuración de diagnóstico. Los siguientes cambios se realizaron en la configuración de diagnóstico desde que se grabó el vídeo, pero estos temas se tratan en este artículo.

Asociados de Azure Monitor
Grupos de categorías

Warning

Elimine cualquier configuración de diagnóstico de un recurso si elimina o cambia el nombre de ese recurso, o si la migra a través de grupos de recursos o suscripciones. Si no se quita la configuración de diagnóstico y se vuelve a crear este recurso, se podría aplicar cualquier configuración de diagnóstico para el recurso eliminado al nuevo. Esto reanudaría la recopilación de registros de recursos tal como se define en la configuración de diagnóstico.

Sources

La configuración de diagnóstico puede recopilar datos de las fuentes que se encuentran en la tabla siguiente. Consulte cada artículo vinculado para obtener más información sobre los datos recopilados por ese origen y su formato en cada destino.

Origen de datos	Description
Métricas de la plataforma	Se recopilan automáticamente sin configuración. Use una configuración de diagnóstico para enviar métricas de plataforma a otros destinos.
Registro de actividad	Se recopilan automáticamente sin configuración. Use una configuración de diagnóstico para enviar entradas del registro de actividad a otros destinos.
Registros de recursos	No se recopilan de forma predeterminada. Cree una configuración de diagnóstico para recopilar registros de recursos.

Destinations

La configuración de diagnóstico envía datos a los destinos de la tabla siguiente. Para garantizar la seguridad de los datos en tránsito, todos los puntos de conexión de destino están configurados para admitir TLS 1.2.

Una sola configuración de diagnóstico puede definir no más de uno de cada tipo de destino. Si quiere enviar datos a más de un tipo de destino determinado (por ejemplo, dos áreas de trabajo de Log Analytics diferentes), cree varias configuraciones. Cada recurso puede tener hasta cinco configuraciones de diagnóstico.

Todos los destinos usados por la configuración de diagnóstico deben existir para poder crear la configuración. El destino no tiene que estar en la misma suscripción que el recurso que envía los registros, siempre que el usuario que realice la configuración pueda acceder de forma adecuada al control de acceso basado en roles de Azure de ambas suscripciones. Use Azure Lighthouse para incluir destinos en otro tenant de Microsoft Entra.

Destination	Description	Requirements
Área de trabajo de Log Analytics	Recuperar datos mediante consultas de registro y cuadernos de trabajo. Usa alertas de registro para alertar de forma proactiva sobre los datos. Consulte Referencia del registro de recursos de Azure Monitor para las tablas que usan los distintos recursos de Azure.	Las tablas de un área de trabajo de Log Analytics se crean automáticamente cuando se envían los primeros datos al área de trabajo, por lo que solo debe existir el propio área de trabajo.
Cuenta de Azure Storage	Almacenar para auditoría, análisis estático o copia de seguridad. El almacenamiento puede ser menos costoso que otras opciones y se puede mantener indefinidamente. Envíe datos al almacenamiento inmutable para evitar su modificación. Establezca la directiva inmutable para la cuenta de almacenamiento tal y como se describe en Establecimiento y administración de directivas de inmutabilidad para Azure Blob Storage.	Las cuentas de almacenamiento deben estar en la misma región que el recurso que se está supervisando si el recurso es regional. Cuando las redes virtuales están habilitadas, la configuración de diagnósticos no puede tener acceso a las cuentas de almacenamiento. Debe habilitar Permitir que los servicios de Microsoft de confianza omitan esta configuración de firewall en las cuentas de almacenamiento para que el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a la cuenta de almacenamiento. Los puntos de conexión de zona DNS de Azure (versión preliminar) y las cuentas de Premium Storage no se admiten como destino. Se admiten todas las cuentas de almacenamiento estándar .
Azure Event Hubs	Transmita datos a sistemas externos, como SIEM de terceros y otras soluciones de Log Analytics.	Event Hubs debe estar en la misma región que el recurso que se está supervisando si el recurso es regional. La configuración de diagnóstico no puede acceder a event hubs cuando se habilitan las redes virtuales. Debe habilitar Permitir que los servicios de Microsoft de confianza omitan esta configuración de firewall en las cuentas de almacenamiento para que el servicio de configuración de diagnóstico de Azure Monitor tenga acceso a la cuenta de almacenamiento. La directiva de acceso compartido para el espacio de nombres del centro de eventos define los permisos que tiene el mecanismo de streaming. El streaming a Event Hubs requiere `Manage`, `Send` y `Listen` permisos. Para actualizar la configuración de diagnóstico para incluir streaming, debe tener el permiso `ListKey` en esa regla de autorización de Event Hubs.
Soluciones de asociados de Azure Monitor	Se pueden realizar integraciones especializadas entre Azure Monitor y otras plataformas de supervisión que no pertenecen a Microsoft. Las soluciones varían según el asociado.	Consulte la documentación de Azure Native ISV Services para más información.

Creación de una configuración de diagnóstico

Puede crear una configuración de diagnóstico mediante cualquiera de los métodos siguientes.

Note

Para crear una configuración de diagnóstico para el registro de actividad, consulte Exportación del registro de actividad.

Siga estos pasos para crear una nueva configuración de diagnóstico o editar una existente en Azure Portal.

Seleccione Configuración de diagnóstico en la sección Supervisión del menú de un recurso o seleccione Configuración de diagnóstico en Configuración en el menú de Azure Monitor y, a continuación, seleccione el recurso.
Seleccione Agregar configuración de diagnóstico para agregar una nueva configuración o Editar para editar una existente. Es posible que necesite varias configuraciones de diagnóstico para un recurso si desea enviar a varios destinos del mismo tipo. En el ejemplo siguiente se muestra la configuración de un recurso del almacén de claves, pero la pantalla es similar para otros recursos.
Asigne un nombre descriptivo a la configuración si aún no tiene uno.

Note

Las categorías variarán para distintos tipos de recursos de Azure. En esta captura de pantalla se muestra un ejemplo de Key Vault. Otros tipos de recursos tendrán un conjunto diferente de categorías.
Registros y métricas que se van a enrutar: en el caso de los registros, elija un grupo de categorías o active las casillas individuales de cada categoría de datos que quiera enviar a los destinos especificados más adelante. La lista de categorías es diferente en cada servicio de Azure. Seleccione AllMetrics si desea recopilar métricas de plataforma.
Detalles de destino: active la casilla para cada destino que se debe incluir en la configuración de diagnóstico y proporcione los detalles de cada uno. Si selecciona área de trabajo de Log Analytics como destino, es posible que tenga que especificar el modo de recopilación. Consulte Modo de recopilación para obtener más información.

Use el cmdlet New-AzDiagnosticSetting para crear una configuración de diagnóstico con Azure PowerShell. Consulte la documentación de este cmdlet para las descripciones de sus parámetros.

Important

Este método no se puede usar para un registro de actividad. En su lugar, siga las indicaciones de Creación de la configuración de diagnóstico en Azure Monitor con una plantilla de Azure Resource Manager para crear una plantilla de Resource Manager e implementarla con PowerShell.

El siguiente script de PowerShell de ejemplo crea una configuración de diagnóstico para enviar todos los registros y métricas de un almacén de claves a un área de trabajo de Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Use el comando az monitor diagnostic-settings create para crear una configuración de diagnóstico con la CLI de Azure. Consulte la documentación de este comando para las descripciones de sus parámetros.

Important

Este método no se puede usar para un registro de actividad. En su lugar, siga las indicaciones de Creación de la configuración de diagnóstico en Azure Monitor con una plantilla de Resource Manager para crear una plantilla de Resource Manager e implementarla con la CLI de Azure.

El script de ejemplo siguiente crea una configuración de diagnóstico que envía datos a los tres destinos. Para especificar el modo específico del recurso si el servicio lo admite, agregue el parámetro export-to-resource-specific con un valor de true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

La plantilla de ejemplo siguiente crea una configuración de diagnóstico para enviar todos los registros de auditoría a un área de trabajo de Log Analytics. El apiVersion puede cambiar en función del recurso del ámbito. Consulte Ejemplos de plantillas de Resource Manager para la configuración de diagnóstico en Azure Monitor para ver plantillas de ejemplo para otros recursos.

Archivo de plantilla

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Archivo de parámetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Grupos de categorías

Puede usar grupos de categorías para recopilar registros de recursos en función de agrupaciones predefinidas en lugar de seleccionar categorías de registro individuales. Microsoft define las agrupaciones para ayudar a supervisar casos de uso comunes. Si se actualizan las categorías del grupo, la recopilación de registros se modifica automáticamente. No todos los servicios de Azure usan grupos de categorías. Si los grupos de categorías no están disponibles para un recurso determinado, la opción no estará disponible al crear la configuración de diagnóstico.

Si usa grupos de categorías en una configuración de diagnóstico, no puede seleccionar tipos de categorías individuales. Actualmente, hay dos grupos de categorías:

allLogs: todas las categorías del recurso.
audit: todos los registros de recursos que registran las interacciones del cliente con los datos o la configuración del servicio. No es necesario seleccionar este grupo de categorías si selecciona el grupo de categorías allLogs .

Note

La habilitación de la categoría Auditoría en la configuración de diagnóstico de Azure SQL Database no activa la auditoría de la base de datos. Para habilitar la auditoría de base de datos, debe habilitarla desde la hoja de auditoría de Azure Database.

Limitaciones de métricas

No todas las métricas se pueden enviar a un área de trabajo de Log Analytics con la configuración de diagnóstico. Consulte la columna Exportable en la lista de métricas admitidas.

La configuración de diagnóstico no admite actualmente métricas multidimensionales. Las métricas con dimensiones se exportan como métricas unidimensionales planas y se agregan entre valores de dimensión. Por ejemplo, la métrica IOReadBytes en una cadena de bloques se puede explorar y trazar en un nivel por nodo. Cuando se exporta con la configuración de diagnóstico, la métrica exportada muestra todos los bytes de lectura para todos los nodos.

Para solucionar las limitaciones de métricas específicas, puede extraerlas manualmente mediante la API REST de métricas y, a continuación, importarlas en un área de trabajo de Log Analytics con la API de ingesta de registros.

Controlar los costos

Puede haber un costo para los datos recopilados por la configuración de diagnóstico. El costo depende del destino que elija y del volumen de datos recopilados. Para obtener más información, consulte Precios de Azure Monitor.

Recopile solo las categorías que necesita para cada servicio. También es posible que no quiera recopilar las métricas de plataforma de los recursos de Azure, ya que estos datos ya se recopilan en las métricas. Solo configure sus datos de diagnóstico para recopilar métricas si necesita datos de métricas en el área de trabajo para un análisis más complejo con consultas de registro.

La configuración de diagnóstico no permite el filtrado pormenorizados dentro de una categoría seleccionada. Puede filtrar los datos de las tablas admitidas en un área de trabajo de Log Analytics mediante transformaciones. Consulte Transformaciones en Azure Monitor para más información.

Tiempo antes de que la telemetría llegue al destino

Después de crear una configuración de diagnóstico, los datos deben empezar a fluir a los destinos seleccionados en un plazo de 90 minutos. Al enviar datos a un área de trabajo de Log Analytics, la tabla se crea automáticamente si aún no existe. La tabla solo se crea cuando se reciben las primeras entradas del registro. Si no recibe información en un plazo de 24 horas, puede que esté experimentando uno de los siguientes problemas:

No se generan registros.
Algo no va bien en el mecanismo de enrutamiento subyacente.

Si experimenta un problema, deshabilite la configuración y vuelva a habilitarla. Si sigue teniendo problemas, póngase en contacto con el equipo de soporte técnico de Azure a través de Azure Portal.

Troubleshooting

No se admite la categoría de métricas
Es posible que reciba un mensaje de error similar a la categoría de métrica "xxxx" no se admite cuando se usa una plantilla de Resource Manager, la API REST, la CLI de Azure o Azure PowerShell. No se admiten categorías de métricas distintas de AllMetrics, excepto un número limitado de servicios de Azure. Quite los nombres de categoría de métrica que no sean AllMetrics y repita la implementación.

La configuración desaparece debido a caracteres que no son ASCII en resourceID
La configuración de diagnóstico no admite identificadores de recursos con caracteres no ASCII (por ejemplo, Preproduccón). Puesto que no puede cambiar el nombre de los recursos en Azure, debe crear un nuevo recurso sin caracteres que no sean ASCII. Si los caracteres están en un grupo de recursos, puede mover los recursos a un nuevo grupo.

Recursos inactivos
Cuando un recurso está inactivo y se exportan métricas de valor cero, el mecanismo de exportación de configuración de diagnóstico retrocede de forma incremental para evitar costos innecesarios de exportación y almacenamiento de valores cero. Este retroceso puede provocar un retraso en la exportación del siguiente valor distinto de cero. Este comportamiento solo se aplica a las métricas exportadas y no afecta a las alertas basadas en métricas ni al escalado automático.

Cuando un recurso está inactivo durante una hora, el mecanismo de exportación tiene un retroceso de 15 minutos. Esto significa que hay una latencia potencial de hasta 15 minutos para que se exporte el siguiente valor distinto de cero. El tiempo máximo de retroceso de dos horas se alcanza después de siete días de inactividad. Una vez que el recurso comienza a exportar valores distintos de cero, el mecanismo de exportación vuelve a la latencia de exportación original de tres minutos.

Datos duplicados para Application Insights
La configuración de diagnóstico para las aplicaciones de Application Insights basadas en áreas de trabajo recopila los mismos datos que Application Insights. Esto da como resultado que se recopilen datos duplicados si el destino es el mismo área de trabajo de Log Analytics que usa la aplicación. Cree una configuración de diagnóstico para que Application Insights envíe datos a otro área de trabajo de Log Analytics u otro destino.

Pasos siguientes

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-08-15