Creación y configuración de un monitor de base de datos (versión preliminar)

Se aplica a:Azure SQL DatabaseAzure SQL Managed Instance

No es necesario implementar ni mantener ningún agente de supervisión u otra infraestructura de supervisión para el monitor de base de datos. Puede habilitar la supervisión detallada de la base de datos de los recursos de Azure SQL en cuestión de minutos.

Este artículo contiene pasos detallados para crear, configurar e iniciar un monitor de base de datos en Azure Portal.

Para obtener un ejemplo paso a paso sobre cómo crear y configurar un monitor de base de datos, consulte Inicio rápido: Creación de un monitor de base de datos para supervisar Azure SQL.

Para ver cómo puedes crear y configurar un monitor de base de datos con Bicep o una plantilla de ARM, consulta Creación de un monitor de base de datos.

Para administrar monitores de base de datos mediante programación, vea la documentación de la API de REST del monitor de base de datos.

Nota:

El monitor de base de datos se encuentra actualmente en versión preliminar. Las características de la versión preliminar se lanzan con funcionalidades limitadas, pero se ponen a disposición de los clientes en forma de versión preliminar, con el fin de que puedan acceder rápidamente y aportar sus comentarios. Las características en versión preliminar están sujetas a términos de versión preliminar adicionales independientes y no están sujetas a acuerdos de nivel de servicio. El soporte técnico se proporciona según sus mejores esfuerzos en determinados casos. No obstante, el equipo de soporte técnico de Microsoft está deseoso de recibir sus comentarios sobre la funcionalidad de la versión preliminar y podría ofrecerle soporte técnico en determinados casos. Es posible que las características en versión preliminar tengan una funcionalidad limitada o restringida y que solo estén disponibles en las áreas geográficas seleccionadas.

Requisitos previos

Para utilizar el monitor de base de datos, los siguientes requisitos previos son obligatorios.

• Necesitará una suscripción de Azure activa. En caso de no tener ninguna, cree una cuenta gratuita. Debe ser miembro del rol Colaborador o del rol Propietario de la suscripción o un grupo de recursos para poder crear recursos.

• Para configurar un monitor de base de datos, necesitará un destino de SQL existente: una base de datos de Azure SQL, un grupo elástico o una instancia de SQL Managed Instance.

  • Si aún no tiene una instancia de Azure SQL Database creada, visite Inicio rápido: Creación de una base de datos única. Busque la opción de usar la oferta para probar Azure SQL Database de forma gratuita (versión preliminar).
  • También, Prueba de Azure SQL Managed Instance gratuita (versión preliminar).

• Los proveedores de recursos Microsoft.DatabaseWatcher, Microsoft.Kusto y Microsoft.Network deben estar registrados en la suscripción de Azure.

  • Para utilizar la autenticación de SQL para las conexiones a los recursos de Azure SQL, el proveedor de recursos Microsoft.KeyVault también debe registrarse. Consulte Configuración adicional para usar la autenticación de SQL.

  El registro de proveedores de recursos es automático si tiene pertenencia al rol RBACPropietario o Colaborador de la suscripción. De lo contrario, un usuario de uno de estos roles debe registrar proveedores de recursos para poder crear y configurar un monitor. Para obtener más información, consulte Registro del proveedor de recursos.

• El usuario que crea y configura el monitor y los recursos de clúster de Azure Data Explorer debe ser miembro del rol RBAC Propietario o Colaborador del grupo de recursos o la suscripción donde se crean estos recursos.

  Además, si utiliza la autenticación de SQL, el usuario debe ser miembro del rol Propietario del grupo de recursos, o miembro del rol Propietario o Administrador de acceso de usuario del almacén de claves que almacena las credenciales de autenticación de SQL.

• El usuario que configura el monitor debe tener acceso de administrador a los destinos de Azure SQL. El monitor tiene acceso limitado y específico a los destinos de supervisión de SQL. Para más información, consulte Cómo conceder acceso a los destinos.

• Para conceder a un monitor acceso a un destino de SQL, debe ejecutar scripts T-SQL. Puede utilizar SQL Server Management Studio (SSMS), Azure Data Studio y Visual Studio Code con la extensión mssql de SQL Server.

• Para utilizar Azure Private Link para conectarse de manera privada a los recursos de Azure, el usuario que aprueba el punto de conexión privado debe ser miembro del rol RBAC Propietario o debe tener los permisos de RBAC necesarios. Para más información, consulte Aprobación de RBAC para punto de conexión privado.

Crear un monitor

1. En el menú de navegación de Azure Portal, seleccione Todos los servicios. Seleccione Supervisar como categoría y, en Herramientas de supervisión, seleccione Monitores de base de datos. Como alternativa, escriba monitor de base de datos en el cuadro Buscar de la parte superior de la página del portal y seleccione Monitores de base de datos.

   Una vez abierta la vista de Monitores de base de datos, seleccione Crear.

2. En la pestaña Datos básicos, seleccione la suscripción y el grupo de recursos del monitor, escriba el nombre del monitor y seleccione una región de Azure.

   Sugerencia

   Durante la versión preliminar, si el monitor de base de datos aún no está disponible en su región, puede crearlo en otra región. Para más información, consulte Disponibilidad regional.

3. En la pestaña Identidad, el estado de la identidad administrada asignada por el sistema se establece en Activado. En este momento, no se admite la creación de monitores sin una identidad administrada asignada por el sistema.

4. Elija un almacén de datos para el monitor.

   De manera predeterminada, la creación de un monitor también crea un clúster de Azure Data Explorer y agrega una base de datos a ese clúster como almacén de los datos de supervisión recopilados.

   • De manera predeterminada, el nuevo clúster de Azure Data Explorer utiliza la SKU extra pequeña y optimizada para proceso. Esta es la SKU más económica que aún proporciona un Acuerdo de Nivel de Servicio (SLA). Puede escalar este clúster más adelante según sea necesario.

   • O bien puede utilizar una base de datos en un clúster de Azure Data Explorer existente, en un clúster gratuito de Azure Data Explorer o en Análisis en tiempo real.

     1. En la pestaña Almacén de datos, elija la opción Seleccionar un almacén de datos y seleccione Agregar.
     2. Seleccione una base de datos de Análisis en tiempo real o un clúster de Azure Data Explorer.
     3. Si utiliza un clúster existente de Azure Data Explorer, debe habilitar la ingesta de streaming.
     4. Cree una nueva base de datos o utilice una base de datos existente.

     Nota:

     Cualquier base de datos existente que seleccione debe estar vacía o debe ser una base de datos que haya utilizado anteriormente como almacén de datos del monitor de base de datos. No se admite la selección de una base de datos que contenga objetos que no haya creado el monitor de base de datos.

5. En la pestaña Destinos de SQL, agregue uno o varios recursos de Azure SQL que quiera supervisar. Puede omitir la adición de destinos de SQL al crear el monitor y agregarlos más adelante. Debe agregar al menos un destino antes de iniciar el monitor.

6. En la pestaña Revisar y crear, revise la configuración del monitor y seleccione Crear. Si selecciona la opción predeterminada para crear un nuevo clúster de Azure Data Explorer, la implementación suele tardar entre 15 y 20 minutos. Si selecciona una base de datos de un clúster existente de Azure Data Explorer, de un clúster gratuito de Azure Data Explorer o de Análisis en tiempo real, la implementación suele tardar hasta cinco minutos.

7. Una vez completada la implementación, conceda al monitor acceso a los destinos de SQL.

   • El acceso a una base de datos de un clúster nuevo o existente de Azure Data Explorer se concede automáticamente cuando se crea el monitor.
   • Sin embargo, debe conceder acceso al almacén de datos mediante un comando KQL si selecciona una base de datos en:
     • Análisis en tiempo real en Microsoft Fabric
     • Un clúster gratuito de Azure Data Explorer

8. Cree puntos de conexión privados administrados si quiere utilizar la conectividad privada.

Iniciar y detener un monitor

Cuando se crea un monitor, no se inicia automáticamente porque es posible que se requiera otra configuración.

Para iniciar un monitor, debe tener lo siguiente:

• Un almacén de datos
• Al menos un destino
• Acceso al almacén de datos y a los destinos
  • También se requiere acceso a un almacén de claves si se seleccionó la autenticación de SQL para cualquier destino.
• Conectividad privada o pública a los destinos, almacén de claves (si utiliza la autenticación de SQL) y el almacén de datos
  • Para utilizar la conectividad privada, cree puntos de conexión privados.

Una vez que un monitor esté totalmente configurado, en la página Información general, utilice el botón Iniciar para iniciar la recopilación de datos. En unos minutos, los nuevos datos de supervisión aparecerán en el almacén de datos y en los paneles. Si no ve los nuevos datos en un plazo de cinco minutos, consulte Solución de problemas.

Puede detener el monitor con el botón Detener si no necesita supervisar los recursos de Azure SQL durante algún tiempo.

Para reiniciar un monitor, deténgalo y vuelva a iniciarlo.

Modificar un monitor

En Azure Portal, puede agregar o quitar destinos, crear o eliminar puntos de conexión privados o utilizar otro almacén de datos para un monitor existente.

Nota:

A menos que se indique lo contrario, los cambios que se hagan en la configuración del monitor serán efectivos después de detener y reiniciar el monitor.

Agregar destinos de SQL a un monitor

Para habilitar la supervisión del monitor de base de datos para una base de datos de Azure SQL, un grupo elástico o una instancia de SQL Managed Instance, debe agregar este recurso como destino de SQL.

1. Para agregar un destino, en la página Destinos de SQL, seleccione Agregar.
2. Busque el recurso de Azure SQL que quiere supervisar. Seleccione el tipo de recurso y la suscripción y, luego, seleccione el destino de SQL en la lista de recursos. El destino SQL pueden estar en cualquier suscripción dentro del mismo suscriptor de Microsoft Entra ID que el monitor.
3. Para supervisar la réplica principal y una réplica secundaria de alta disponibilidad de una base de datos, un grupo elástico o una instancia de SQL Managed Instance, agregue dos destinos independientes para el mismo recurso y active la casilla Intención de lectura para uno de ellos.
   • Al activar el cuadro Intención de lectura, se configura el monitor para supervisar solo la réplica secundaria de alta disponibilidad.
   • No active la casilla Intención de lectura si quiere supervisar solo la réplica principal o si no existe una réplica secundaria de alta disponibilidad para este recurso o si la característica de escalado horizontal de lectura está deshabilitada.

De manera predeterminada, el monitor de base de datos utiliza la autenticación de Microsoft Entra al conectarse con los destinos de SQL. Si quiere que el monitor utilice la autenticación de SQL, active la casilla Utilizar autenticación de SQL e ingrese los detalles necesarios. Para obtener más información, consulte Configuración adicional para usar la autenticación de SQL.

Eliminar destinos de SQL de un monitor

Para eliminar uno o varios destinos, abra la página Destinos de SQL, seleccione los destinos que quiere eliminar en la lista y seleccione Eliminar.

Al eliminar un destino, se detiene la supervisión de un recurso de Azure SQL una vez reiniciado el monitor, pero no se elimina el recurso real.

Si elimina un recurso de Azure SQL supervisado por el monitor de base de datos, también debe eliminar el destino correspondiente. Dado que hay un límite en el número de destinos de SQL que puede tener un monitor, mantener destinos obsoletos puede impedir que agregue destinos nuevos.

Creación de un punto de conexión privado administrado

Debe crear puntos de conexión privados administrados si quiere utilizar la conectividad privada para la recopilación de datos de destinos de SQL, para la ingesta en el almacén de datos y para conectarse a un almacén de claves. Si no crea puntos de conexión privados, el monitor de base de datos utiliza la conectividad pública de manera predeterminada.

Para crear un punto de conexión privado administrado:

1. Si existe un bloqueo de solo lectura en el recurso, el grupo de recursos o la suscripción del recurso para el que va a crear un punto de conexión privado administrado, debe eliminar el bloqueo. Puede volver a agregar el bloqueo después de que el punto de conexión privado se haya creado correctamente.

2. Vaya a un monitor de base de datos en Azure Portal, abra la página Puntos de conexión privados administrados y seleccione Agregar.

3. Escriba el Nombre del punto de conexión privado.

4. Seleccione la suscripción del recurso de Azure para crear el punto de conexión privado.

5. En función del recurso para el que quiere crear un punto de conexión privado, seleccione el tipo de recurso y el recurso secundario de destino como se indica a continuación:

   Resource	Tipo de recurso	Recurso secundario de destino
   Servidor lógico	Microsoft.Sql/servers	sqlServer
   SQL Managed Instance	Microsoft.Sql/managedInstances	managedInstance
   Clúster de Azure Data Explorer	Microsoft.Kusto/clusters	cluster
   Key vault	Microsoft.KeyVault/vaults	vault

6. Seleccione el recurso para el que quiere crear un punto de conexión privado. Puede ser un servidor lógico de Azure SQL o una instancia de SQL Managed Instance, un clúster de Azure Data Explorer o un almacén de claves.

   • La creación de un punto de conexión privado para un servidor lógico de Azure SQL Database permite la conectividad privada del monitor de bases de datos para todos los destinos de base de datos y grupo elástico de ese servidor.

7. También, puede escribir la descripción del punto de conexión privado. Esto ayuda al administrador del recurso a aprobar la solicitud.

8. Seleccione Crear. La creación de un punto de conexión privado puede tardar uno o dos minutos. Se crea un punto de conexión privado una vez que su estado de aprovisionamiento cambia de Aceptado o En ejecución a Correcto. Actualice la vista para ver el estado de aprovisionamiento actual.

   Importante

   El punto de conexión privado se crea en el estado Pendiente. El administrador del recurso debe aprobarlo antes de que el monitor de base de datos pueda utilizarlo para conectarse al recurso.

   Para permitir que los administradores del recurso controlen la conectividad de red, los puntos de conexión privados del monitor de base de datos no se aprueban automáticamente.

9. El administrador del recurso debe aprobar la solicitud del punto de conexión privado.

   • En Azure Portal, el administrador del recurso debe buscar Vínculo privado para abrir el Private Link Center. En Conexiones pendientes, busque el punto de conexión privado que creó, confirme su descripción y detalles y seleccione Aprobar.
   • También puede aprobar solicitudes de punto de conexión privado mediante la CLI de Azure.

Si un monitor ya está en ejecución cuando se aprueba un punto de conexión privado, debe reiniciarse para empezar a utilizar la conectividad privada.

Eliminar un punto de conexión privado administrado

1. Si existe un bloqueo de eliminación en el recurso, el grupo de recursos o la suscripción del recurso para el que va a crear un punto de conexión privado administrado, debe eliminar el bloqueo. Puede volver a agregar el bloqueo después de que el punto de conexión privado se elimine correctamente.
2. En la página de Azure Portal del monitor de base de datos, abra la página Puntos de conexión privados administrados.
3. Seleccione los puntos de conexión privados que quiere eliminar.
4. Seleccione Eliminar.

Al eliminar un punto de conexión privado administrado, se detiene la recopilación de datos de destinos de SQL que utilizan este punto de conexión privado. Al eliminar el punto de conexión privado administrado para el clúster de Azure Data Explorer, se detiene la recopilación de datos para todos los destinos. Para reanudar la recopilación de datos, vuelva a crear el punto de conexión privado o habilite la conectividad pública y reinicie el monitor.

Cambiar el almacén de datos de un monitor

Un monitor puede tener solo un almacén de datos.

Para cambiar el almacén de datos actual, elimine el existente y agregue un almacén de datos nuevo.

• Para eliminar el almacén de datos actual, abra la página Almacén de datos, seleccione el almacén de datos en la cuadrícula y seleccione Eliminar.

  • Al eliminar un almacén de datos no se elimina la base de datos del almacén de datos real de un clúster de Azure Data Explorer ni de Análisis en tiempo real de Microsoft Fabric.
  • Para detener la recopilación de datos en un almacén de datos eliminado, detenga el monitor.
  • Si elimina un almacén de datos, debe agregar uno nuevo para poder volver a iniciar el monitor.

• Para agregar un almacén de datos, seleccione Agregar en la página Almacén de datos y, luego, seleccione una base de datos de un clúster de Azure Data Explorer o de Análisis en tiempo real, o créela.

  • La base de datos que seleccione debe estar vacía o debe ser una base de datos que haya utilizado anteriormente como almacén de datos del monitor de base de datos. No se admite la selección de una base de datos que contenga objetos que no haya creado el monitor de base de datos.
  • Una vez agregado un almacén de datos, debe conceder al monitor acceso para utilizarlo. Para más información, consulte Conceder acceso al almacén de datos.
  • El nuevo almacén de datos se utiliza una vez reiniciado el monitor.

Eliminar un monitor

Al eliminar un monitor, también se elimina su identidad administrada asignada por el sistema. Esto elimina cualquier acceso que se haya concedido a esta identidad. Si vuelve a crear el monitor más tarde, debe conceder acceso a la identidad administrada asignada por el sistema del nuevo monitor para autenticarse en cada recurso. Esta característica incluye:

• Destinos
• Almacén de datos
• Y almacén de claves (si se utiliza)

Debe conceder acceso a un monitor que se vuelve a crear, incluso si utiliza el mismo nombre de monitor.

Al eliminar un monitor, no se eliminan los recursos de Azure a los que se hace referencia como destinos y almacén de datos. Los datos de supervisión de SQL recopilados se conservan en el almacén de datos y puede utilizar la misma base de datos que el almacén de datos si crea un monitor más adelante.

Conceder acceso a destinos de SQL

Para permitir que un monitor recopile datos de supervisión de SQL, debe ejecutar un script de T-SQL que conceda al monitor permisos de SQL específicos y limitados.

• Para ejecutar el script en la instancia de Azure SQL Database, necesita acceso de administrador del servidor al servidor lógico que contiene las bases de datos y los grupos elásticos que quiere supervisar.

  • En Azure SQL Database, solo debe ejecutar el script una vez por servidor lógico para cada monitor que cree. Esto concede al monitor acceso a todas las bases de datos y grupos elásticos existentes y nuevos de ese servidor.

• Para ejecutar el script en Azure SQL Managed Instance, debe ser miembro de un rol del servidor sysadmin o securityadmin o tener el permiso de servidor CONTROL en la instancia de SQL Managed Instance.

  • En Azure SQL Managed Instance, debe ejecutar el script en cada instancia que quiera supervisar.

1. Vaya al monitor en Azure Portal, seleccione Destinos SQL, seleccione uno de los vínculos sobre Conceder acceso para abrir el script de T-SQL y cópielo. Asegúrese de elegir el vínculo correcto para el tipo de destino y el tipo de autenticación que quiere utilizar.

   Importante

   El script de autenticación de Microsoft Entra en Azure Portal es específico de un monitor porque incluye el nombre de este. Para obtener una versión genérica de este script que se puede personalizar para cada monitor, consulte Conceder acceso a destinos de SQL con scripts de T-SQL.

2. En SQL Server Management Studio, Azure Data Studio o cualquier otra herramienta de cliente SQL, abra una nueva ventana de consulta y conéctela a la base de datos master de un servidor lógico de Azure SQL que contenga el destino o a la base de datos master de un destino de la instancia administrada de SQL.

3. Pegue y ejecute el script de T-SQL para conceder acceso al monitor. El script crea un inicio de sesión que el monitor utilizará para conectarse y concede permisos específicos y limitados para recopilar datos de supervisión.

   1. Si se utiliza un script de autenticación de Microsoft Entra, el monitor ya debe estar creado al ejecutar el script. Además, se debe conectar con la autenticación de Microsoft Entra.

Si agrega destinos nuevos a un monitor más adelante, debe conceder acceso a estos destinos de forma similar, a menos que estén en un servidor lógico en el que ya se haya concedido acceso.

Conceder acceso a destinos de SQL con scripts de T-SQL

Hay diferentes scripts para la autenticación de Microsoft Entra y la autenticación de SQL, y para los destinos de Azure SQL Database y Azure SQL Managed Instance.

Importante

Utilice siempre los scripts proporcionados para conceder acceso al monitor de base de datos. Conceder acceso de otra manera puede bloquear la recopilación de datos. Para más información, consulte Autorización del monitor.

Antes de ejecutar un script, reemplace todas las instancias de los marcadores de posición que podrían estar presentes en el script, como login-name-placeholder, user-name-placeholder y password-placeholder por los valores reales.

Conceder acceso a los monitores autenticados de Microsoft Entra

SQL Database

Este script crea un inicio de sesión de autenticación de Microsoft Entra (anteriormente conocido como Azure Active Directory) en un servidor lógico de Azure SQL Database. El inicio de sesión se crea para la identidad administrada de un monitor. El script concede al monitor los permisos necesarios y suficientes para recopilar datos de supervisión de todas las bases de datos y grupos elásticos del servidor lógico.

Debe utilizar el nombre del monitor como nombre de inicio de sesión. El script debe ejecutarse en la base de datos master del servidor lógico. Debe iniciar sesión con un inicio de sesión de autenticación de Microsoft Entra que sea el administrador del servidor.

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [watcher-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [watcher-name-placeholder];

Instancia administrada de SQL

Este script crea un inicio de sesión de autenticación de Microsoft Entra (anteriormente conocido como Azure Active Directory) en una instancia de SQL Managed Instance. El inicio de sesión se crea para la identidad administrada de un monitor. El script concede al monitor los permisos necesarios y suficientes para recopilar los datos de supervisión de la instancia.

Debe utilizar el nombre del monitor como nombre de inicio de sesión. El script debe ejecutarse en la base de datos master de la instancia administrada. Debe iniciar sesión con un inicio de sesión de autenticación de Microsoft Entra que sea miembro de un rol del servidor sysadmin o securityadmin, o tenga el permiso de servidor CONTROL.

USE master;

CREATE LOGIN [watcher-name-placeholder] FROM EXTERNAL PROVIDER;

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [watcher-name-placeholder];

USE msdb;

CREATE USER [watcher-name-placeholder] FOR LOGIN [watcher-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [watcher-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [watcher-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [watcher-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [watcher-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [watcher-name-placeholder];

Conceder acceso a los monitores autenticados de SQL

Es necesario llevar a cabo otros pasos al utilizar la autenticación de SQL. Consulte Configuración adicional para utilizar la autenticación de SQL.

SQL Database

Este script crea un inicio de sesión de autenticación de SQL en un servidor lógico de Azure SQL Database. Concede al inicio de sesión los permisos necesarios y suficientes para recopilar datos de supervisión de todas las bases de datos y grupos elásticos de ese servidor lógico.

El script debe ejecutarse en la base de datos master del servidor lógico mediante un inicio de sesión que sea administrador del servidor lógico.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

Instancia administrada de SQL

Este script crea un inicio de sesión de autenticación de SQL en una instancia de SQL Managed Instance. Concede al inicio de sesión los permisos necesarios y suficientes para recopilar los datos de supervisión de la instancia.

El script debe ejecutarse en la base de datos master de la instancia, mediante un inicio de sesión que sea miembro del rol del servidor sysadmin o securityadmin, o tenga el permiso de servidor CONTROL.

USE master;

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [login-name-placeholder];

USE msdb;

CREATE USER [login-name-placeholder] FOR LOGIN [login-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [login-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [login-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [login-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [login-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [login-name-placeholder];
GRANT SELECT ON dbo.backupset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [login-name-placeholder];

Configuración adicional para utilizar la autenticación de SQL

Para almacenar las credenciales de autenticación de forma segura, el uso de la autenticación de SQL en el monitor de base de datos requiere una configuración adicional.

Sugerencia

Para una configuración más segura, más sencilla y menos propensa a errores, se recomienda habilitar la autenticación de Microsoft Entra para los recursos de Azure SQL y utilizarla en lugar de la autenticación de SQL.

Para configurar el monitor de base de datos y conectarse a un destino mediante la autenticación de SQL, haga lo siguiente:

1. Cree un almacén en Azure Key Vault o identifique un almacén existente que pueda utilizar. El almacén debe utilizar el modelo de permisos de RBAC. El modelo de permisos de RBAC es el valor predeterminado para los nuevos almacenes. Si desea utilizar un almacén existente, asegúrese de que no está configurado para utilizar el modelo de directiva de acceso anterior.

   Si quiere utilizar la conectividad privada al almacén, cree un punto de conexión privado en la página Puntos de conexión privados administrados. Seleccione Microsoft.KeyVault/vaults como Tipo de recurso y vault como Recurso secundario de destino. Asegúrese de que el punto de conexión privado se apruebe antes de iniciar el monitor.

   Si quiere utilizar la conectividad pública, el almacén debe tener acceso público desde todas las redes habilitadas. No se admite la restricción de la conectividad del almacén público a redes específicas en el monitor de base de datos.

2. Cree un inicio de sesión de autenticación de SQL en cada servidor lógico de Azure SQL o instancia administrada que quiera supervisar y conceda los permisos necesarios. Utilice los scripts de acceso proporcionados para la autenticación de SQL y reemplace los marcadores de posición de nombre de inicio de sesión, nombre de usuario y contraseña por los valores reales. Utilice una contraseña segura.

3. En el almacén, cree dos secretos: un secreto para el nombre de inicio de sesión y un secreto independiente para la contraseña. Utilice cualquier nombre válido como nombre secreto y escriba el nombre de inicio de sesión o la contraseña que utilizó en el script de T-SQL como valor secreto.

   Por ejemplo, los nombres de los dos secretos pueden ser database-watcher-login-name y database-watcher-password. Los valores secretos serían un nombre de inicio de sesión y una contraseña segura.

   Para crear secretos, debe ser miembro del rol RBAC Responsable de secretos de Key Vault.

4. En la página Control de acceso (IAM) de cada secreto, agregue una asignación de roles para la identidad administrada del monitor en el rol RBAC Usuario de secretos de Key Vault. Para respetar el principio de privilegios mínimos, agregue esta asignación de roles para cada secreto, no para todo el almacén. La página Access Control (IAM) solo aparece si el almacén está configurado para utilizar el modelo de permisos RBAC .

5. Agregue el destino de SQL a un monitor. Al agregar un destino, active la casilla Utilizar autenticación de SQL y seleccione el almacén donde se almacenan el nombre de inicio de sesión y los secretos de contraseña. Escriba los nombres de los secretos para el nombre de inicio de sesión y la contraseña.

   Al agregar un destino SQL, no escriba el nombre de inicio de sesión ni la contraseña reales. Con el ejemplo anterior, escribiría los nombres de secretos database-watcher-login-name y database-watcher-password.

Si quiere utilizar distintos inicios de sesión en otros destinos de SQL, puede utilizar el mismo almacén para almacenar todos los secretos.

Nota:

Si actualiza el valor secreto de un nombre de inicio de sesión o una contraseña en el almacén de claves mientras se ejecuta un monitor, este se vuelve a conectar a los destinos con las nuevas credenciales de autenticación de SQL en un plazo de 15 minutos. Si quiere empezar a utilizar las nuevas credenciales de inmediato, detenga y reinicie el monitor.

Conceder acceso al almacén de datos

Para crear y administrar el esquema de base de datos a lo largo del tiempo y para ingerir datos de supervisión, el monitor de base de datos requiere la pertenencia al rol RBAC Administrador en la base de datos del almacén de datos. Para el monitor de base de datos no se requiere el acceso al clúster de Azure Data Explorer ni a otras bases de datos que puedan existir en el mismo clúster.

Si crea un clúster y una base de datos de Azure Data Explorer nuevos, o selecciona una base de datos de un clúster existente al crear un monitor, este acceso se concede automáticamente si el usuario que crea el monitor es miembro del rol RBAC Propietario del clúster.

Si cambia el almacén de datos de un monitor existente, o si utiliza una base de datos de Análisis en tiempo real o de un clúster gratuito de Azure Data Explorer, debe conceder el acceso como se describe en esta sección.

Conceder acceso a una base de datos de Azure Data Explorer mediante Azure Portal

Puede utilizar Azure Portal para conceder acceso a una base de datos del clúster de Azure Data Explorer:

1. Para una base de datos de un clúster de Azure Data Explorer, en el menú de recursos de Seguridad y redes, seleccione Permisos. No utilice la página Permisos del clúster.
2. Seleccione Agregar y, luego, Administrador.
3. En la página Nuevas entidades de seguridad, seleccione Aplicaciones empresariales y escriba el nombre del monitor en el cuadro Buscar.
4. Seleccione la aplicación empresarial con el mismo nombre que el monitor.

Conceder acceso a una base de datos de Azure Data Explorer mediante KQL

En lugar de utilizar Azure Portal, también puede conceder acceso a la base de datos mediante un comando KQL.

1. Conéctese a una base de datos del clúster de Azure Data Explorer mediante Kusto Explorer o la UI web de Azure Data Explorer. Utilice este método para conceder acceso a una base de datos de Análisis en tiempo real o de un clúster gratuito de Azure Data Explorer.

2. En el siguiente comando KQL de muestra, reemplace tres marcadores de posición:

   .add database [adx-database-name-placeholder] admins ('aadapp=watcher-object-id-placeholder;tenant-primary-domain-placeholder');
   

   Marcador	Sustitución
   adx-database-name-placeholder	Nombre de una base de datos de un clúster de Azure Data Explorer o de Análisis en tiempo real.
   watcher-object-id-placeholder	Valor de Id. de objeto (entidad de seguridad) (un GUID), que se encuentra en la página Identidad del monitor.
   tenant-primary-domain-placeholder	Nombre de dominio del inquilino de Microsoft Entra ID del monitor. Encuéntrelo en la página Información general de Microsoft Entra ID en Azure Portal. En lugar del dominio principal del inquilino, también se puede utilizar el valor GUID del id. de inquilino. Puede omitir esta parte del comando (y el punto y coma anterior) si el monitor y el clúster de Azure Data Explorer se encuentran en el mismo inquilino de Microsoft Entra ID.

   Por ejemplo:

   .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
   

Para más información, consulte Control de acceso basado en roles de Kusto.

Conceder acceso a usuarios y grupos al almacén de datos

Puede utilizar Azure Portal o un comando KQL para conceder a los usuarios y grupos el acceso a una base de datos de un clúster de Azure Data Explorer o de Análisis en tiempo real. Para conceder acceso, debe ser miembro del rol RBAC de Administración en la base de datos.

Utilice un comando KQL para conceder acceso a una base de datos de un clúster gratuito de Azure Data Explorer o de Análisis en tiempo real. Para respetar el principio de privilegios mínimos, se recomienda no agregar usuarios ni grupos a ningún rol RBAC distinto de Visor.

Importante

Considere con detenimiento los requisitos de privacidad y seguridad de los datos al conceder acceso para ver los datos de supervisión de SQL que recopila el monitor de base de datos.

Aunque el monitor de base de datos no tiene la capacidad de recopilar datos almacenados en tablas de usuario de las bases de datos SQL, determinados conjuntos de datos, como Sesiones activas, Metadatos de índice, Índices que faltan, Estadísticas de runtime de consultas, Estadísticas de espera de consultas, Estadísticas de sesión y Metadatos de tabla podrían contener datos potencialmente confidenciales, como nombres de tablas e índices, texto de consultas, valores de parámetros de consultas, nombres de inicio de sesión, etc.

Al conceder acceso de vista al almacén de datos a un usuario que no tiene acceso para ver estos datos de una base de datos SQL, es posible que le permita ver datos confidenciales que no podría ver en caso contrario.

Conceder acceso al almacén de datos mediante Azure Portal

Puede utilizar Azure Portal para conceder a los usuarios y grupos acceso a una base de datos del clúster de Azure Data Explorer:

1. Para una base de datos de un clúster de Azure Data Explorer, en el menú de recursos de Seguridad y redes, seleccione Permisos. No utilice la página Permisos del clúster.
2. Seleccione Agregar y, luego, Visores.
3. En la página Nuevas entidades de seguridad, escriba el nombre del usuario o grupo en el cuadro Buscar.
4. Seleccione el usuario o el grupo.

Conceder acceso al almacén de datos mediante KQL

En lugar de utilizar Azure Portal, también puede conceder a los usuarios y grupos acceso a la base de datos mediante un comando KQL. En el ejemplo siguiente, los comandos KQL conceden acceso de lectura de datos al usuario mary@contoso.com y al grupo SQLMonitoringUsers@contoso.com de un inquilino de Microsoft Entra ID con un valor de id. de inquilino específico:

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Para más información, consulte Control de acceso basado en roles de Kusto.

Para conceder acceso al almacén de datos a usuarios y grupos de otro inquilino, debe habilitar la autenticación entre inquilinos en el clúster de Azure Data Explorer. Para más información Permitir comandos y consultas entre inquilinos.

Sugerencia

La autenticación entre inquilinos está habilitada en Análisis en tiempo real y en clústeres gratuitos de Azure Data Explorer. Esto permite conceder acceso a los usuarios y grupos del inquilino de Microsoft Entra ID para ver los datos de estas bases de datos.

Administrar el almacén de datos

En esta sección se describe cómo administrar el almacén de datos de supervisión, incluido el escalado, la retención de datos y otra configuración. Las consideraciones de escalado de clústeres de esta sección son relevantes si utiliza una base de datos del clúster de Azure Data Explorer. Si utiliza una base de datos de Análisis en tiempo real en Fabric, el escalado se administra automáticamente.

Escalar el clúster de Azure Data Explorer

Puede escalar el clúster de Azure Data Explorer según sea necesario. Por ejemplo, puede reducir verticalmente el clúster a la SKU de desarrollo/pruebas extrapequeña si no se requiere un Acuerdo de Nivel de Servicio (SLA) y si el rendimiento de la ingesta de datos y consultas sigue siendo aceptable.

En el caso de un gran número de implementaciones de monitor de base de datos, la SKU optimizada para proceso extrapequeña de clúster de 2 instancias predeterminada será suficiente de manera indefinida. En algunos casos, en función de los cambios de configuración y carga de trabajo a lo largo del tiempo, es posible que tenga que escalar el clúster para garantizar un rendimiento adecuado de las consultas y mantener una latencia de ingesta de datos baja.

Azure Data Explorer admite el escalado vertical y horizontal de clústeres. Con el escalado vertical, se cambia la SKU del clúster, que cambia la cantidad de vCPU, memoria y caché por instancia (nodo). Con el escalado horizontal, la SKU sigue siendo la misma, pero la cantidad de instancias del clúster aumenta o disminuye.

Debe escalar horizontalmente el clúster o verticalmente si observa uno o varios de los síntomas siguientes:

• El rendimiento de las consultas ad hoc o del panel es demasiado lento.
• Ejecuta muchas consultas simultáneas en el clúster y observa errores de limitación.
• La latencia de ingesta de datos es constantemente superior a lo aceptable.

En general, no es necesario escalar el clúster a medida que aumenta la cantidad de datos del almacén de datos a lo largo del tiempo. Esto se debe a que las consultas de panel y las consultas analíticas más comunes solo utilizan los datos más recientes que se almacenan en caché en el almacenamiento de SSD local de los nodos del clúster.

Sin embargo, si ejecuta consultas analíticas que abarcan intervalos de tiempo más largos, podrían volverse más lentas a lo largo del tiempo a medida que aumenta la cantidad total de datos recopilados y dejan de caber en el almacenamiento de SSD local. Es posible que sea necesario escalar el clúster para mantener el rendimiento adecuado de las consultas en ese caso.

• Si necesita escalar el clúster, se recomienda escalarlo horizontalmente primero para aumentar la cantidad de instancias. Esto mantiene el clúster disponible para las consultas y la ingesta durante el proceso de escalado.

  • Puede habilitar la autoescala optimizada para reducir o aumentar automáticamente la cantidad de instancias en respuesta a los cambios en la carga de trabajo o a las tendencias estacionales.

• Es posible que, incluso después de escalar horizontalmente el clúster, algunas consultas aún no funcionen según lo previsto. Esto puede ocurrir si el rendimiento de las consultas está sujeto a los recursos disponibles en una instancia (nodo) del clúster. En ese caso, escale verticalmente el clúster.

  • El escalado vertical del clúster tarda varios minutos. Durante ese proceso, hay un período de inactividad que puede interrumpir la recopilación de datos. Si esto sucede, detenga y reinicie el monitor una vez completada la operación de escalado.

No se puede escalar un clúster gratuito de Azure Data Explorer. Si observa que las especificaciones del clúster gratuito no son suficientes para sus requisitos, actualice a un clúster completo de Azure Data Explorer. El proceso de actualización conserva todos los datos recopilados. Dado que puede haber un período de inactividad durante la actualización, es posible que tenga que detener y reiniciar el monitor para reanudar la recopilación de datos una vez completada la actualización.

Administración de la retención de datos

Si no necesita datos anteriores, puede configurar directivas de retención de datos para purgarlos automáticamente. De manera predeterminada, la retención de datos se establece en 365 días en una nueva base de datos de un clúster de Azure Data Explorer o de Análisis en tiempo real.

• Puede reducir el período de retención de datos de la base de datos o de las tablas individuales de la base de datos.
• También puede aumentar la retención si necesita almacenar los datos de supervisión durante más de un año. No hay ningún límite superior en el período de retención de datos.
• Si configura períodos de retención de datos distintos de tablas distintas, es posible que los paneles no funcionen según lo previsto para los intervalos de tiempo anteriores. Esto puede ocurrir si los datos siguen presentes en algunas tablas, pero se purgaron en otras tablas durante el mismo intervalo de tiempo.

Cambios de esquema y acceso en el almacén de datos del monitor de base de datos

Con el tiempo, Microsoft podría introducir nuevos conjuntos de datos del monitor de base de datos o expandir los conjuntos de datos existentes. Esto significa que las nuevas tablas del almacén de datos o las nuevas columnas de las tablas existentes se podrían agregar automáticamente.

Para ello, la identidad administrada de un monitor de base de datos debe ser miembro del rol RBAC Administrador en el almacén de datos. Si se revoca esta pertenencia de roles o se reemplaza por la pertenencia a cualquier otro rol RBAC, se puede afectar a la recopilación de datos del monitor de base de datos y la administración de esquemas, y no se admite.

Del mismo modo, no se admite la creación de objetos nuevos como tablas, tablas externas, vistas materializadas, funciones, etc. en el almacén de datos del monitor de base de datos. Puede utilizar consultas entre clústeres y entre bases de datos para consultar los datos en el almacén de datos desde otros clústeres de Azure Data Explorer o desde otras bases de datos del mismo clúster.

Importante

Si cambia el acceso del monitor de base de datos al almacén de datos del monitor o cambia la configuración o el esquema de la base de datos que afectan a la ingesta de datos, es posible que tenga que cambiar el almacén de datos de ese monitor a una nueva base de datos vacía y conceder al monitor el acceso a esta nueva base de datos para reanudar la recopilación de datos y revertir a una configuración admitida.

Clústeres de Azure Data Explorer detenidos

Se puede detener un clúster de Azure Data Explorer para ahorrar costos. De manera predeterminada, un clúster de Azure Data Explorer se detiene automáticamente después de varios días de inactividad. Por ejemplo, esto puede ocurrir si detiene el monitor que ingiere los datos en la única base de datos del clúster y no ejecuta ninguna consulta en esta base de datos.

Si se detiene el clúster, también se detiene la recopilación de datos del monitor de base de datos y los datos de supervisión no aparecen en los paneles. Para reanudar la recopilación de datos y hacer que los datos sean accesibles desde los paneles, debe reanudar manualmente el clúster. Una vez que el clúster esté en ejecución, reinicie el monitor.

Puede deshabilitar el comportamiento de detención automática si quiere que el clúster siga disponible incluso cuando esté inactivo. Esto podría aumentar el costo del clúster.

Ingesta de streaming

Para el monitor de base de datos, es necesario habilitar la ingesta de streaming del clúster de Azure Data Explorer que contiene la base de datos del almacén de datos. Al crear un monitor nuevo, la ingesta de streaming se habilita automáticamente para el nuevo clúster de Azure Data Explorer creado. También se habilita en Análisis en tiempo real y en el clúster gratuito de Azure Data Explorer.

Si quiere utilizar un clúster existente de Azure Data Explorer, primero habilite la ingesta de streaming. Esto tarda unos minutos y es necesario reiniciar el clúster.

Supervisar patrimonios grandes

Para supervisar un patrimonio grande de Azure SQL, es posible que tenga que crear varios monitores.

Cada monitor necesita una base de datos de un clúster de Azure Data Explorer o de Análisis en tiempo real como almacén de datos. Los monitores que cree pueden utilizar una base de datos única como almacén de datos común o bases de datos independientes como almacenes de datos independientes. Las consideraciones siguientes pueden ayudar a elegir un diseño óptimo para los escenarios y requisitos de supervisión.

Consideraciones para un almacén de datos común:

• Hay una vista de su patrimonio de Azure SQL desde un solo panel.
• Sin embargo, los usuarios con acceso al almacén de datos tienen acceso a todos los datos de supervisión.

Consideraciones para los almacenes de datos independientes:

• Los subconjuntos del patrimonio de Azure SQL se supervisan de forma independiente. Los paneles de patrimonio de Azure Portal muestran datos de un solo almacén de datos. Los usuarios con acceso a varios almacenes de datos pueden utilizar consultas KQL entre clústeres o entre bases de datos para acceder a los datos de supervisión de varios almacenes de datos mediante una sola consulta.
• Dado que el acceso a los datos en Azure Data Explorer y en Análisis en tiempo real se administra por base de datos, puede administrar el acceso a los datos de supervisión de los subconjuntos de su patrimonio de forma granular.
• Puede colocar varias bases de datos en el mismo clúster de Azure Data Explorer para compartir recursos de clúster y ahorrar costos, además de mantener los datos aislados en cada base de datos.
• Si necesita una separación completa de los entornos, incluido el acceso de red a los clústeres de Azure Data Explorer, puede colocar distintas bases de datos en distintos clústeres.

Contenido relacionado

• Inicio rápido: Creación de un monitor de base de datos para supervisar Azure SQL (versión preliminar)
• Supervisión de cargas de trabajo de Azure SQL con el monitor de base de datos (versión preliminar)
• Recopilación de datos y conjuntos de datos del monitor de base de datos (versión preliminar)
• Análisis de los datos de supervisión del monitor de base de datos (versión preliminar)
• Preguntas frecuentes sobre el monitor de base de datos