Registros de auditoría, diagnóstico e historial de actividad
En este tutorial se muestra la configuración paso a paso necesaria para habilitar y capturar registros de auditoría y diagnóstico para aplicaciones en el portal de gobernanza de Microsoft Purview a través de Azure Event Hubs.
Un administrador de Microsoft Purview o un administrador de origen de datos de Microsoft Purview necesita la capacidad de supervisar los registros de auditoría y diagnóstico capturados de las aplicaciones en el portal de gobernanza de Microsoft Purview. La información de auditoría y diagnóstico consta del historial con marca de tiempo de las acciones realizadas y los cambios realizados en una cuenta de Microsoft Purview por cada usuario. El historial de actividades capturado incluye acciones en el portal de gobernanza de Microsoft Purview y fuera del portal. Las acciones fuera del portal incluyen la llamada a las API REST de Microsoft Purview para realizar operaciones de escritura.
Este tutorial le guiará por los pasos para habilitar el registro de auditoría. También muestra cómo configurar y capturar eventos de auditoría de streaming desde el portal de gobernanza de Microsoft Purview a través de Azure Diagnostics event hubs.
Categorías de eventos de auditoría
En la tabla se enumeran algunas de las categorías importantes de eventos de auditoría del portal de gobernanza de Microsoft Purview que están disponibles actualmente para su captura y análisis.
Se agregarán más tipos y categorías de eventos de auditoría de actividad.
| Categoría | Actividad | Operación |
|---|---|---|
| Administración | Colecciones | Crear |
| Administración | Colecciones | Actualizar |
| Administración | Colecciones | Delete |
| Administración | Asignaciones de roles | Crear |
| Administración | Asignaciones de roles | Actualizar |
| Administración | Asignaciones de roles | Delete |
| Administración | Conjunto de reglas de examen | Crear |
| Administración | Conjunto de reglas de examen | Actualizar |
| Administración | Conjunto de reglas de examen | Delete |
| Administración | Regla de clasificación | Crear |
| Administración | Regla de clasificación | Actualizar |
| Administración | Regla de clasificación | Delete |
| Administración | Examinar | Crear |
| Administración | Examinar | Actualizar |
| Administración | Examinar | Delete |
| Administración | Examinar | Ejecutar |
| Administración | Examinar | Cancelar |
| Administración | Examinar | Crear |
| Administración | Examinar | Programación |
| Administración | Origen de datos | Registrarse |
| Administración | Origen de datos | Actualizar |
| Administración | Origen de datos | Delete |
Habilitación de auditorías y diagnósticos
Las secciones siguientes le guiarán a través del proceso de habilitación de la auditoría y el diagnóstico.
Configuración de Event Hubs
Cree un espacio de nombres Azure Event Hubs mediante una plantilla de Azure Resource Manager (ARM) (GitHub). Esta plantilla de Azure ARM automatizada implementará y finalizará la creación de la instancia de Event Hubs con la configuración necesaria.
Para obtener explicaciones paso a paso y configuración manual:
- Event Hubs: uso de una plantilla de ARM para habilitar la captura de Event Hubs
- Event Hubs: habilite la captura de eventos de streaming manualmente mediante el Azure Portal
Conexión de una cuenta de Microsoft Purview a centros de eventos de diagnóstico
Ahora que Event Hubs se implementa y crea, conecte el registro de auditoría de diagnóstico de cuentas de Microsoft Purview a Event Hubs.
Vaya a la página principal de su cuenta de Microsoft Purview. En esta página se muestra la información general en el Azure Portal. No es la página principal del portal de gobernanza de Microsoft Purview.
En el menú de la izquierda, seleccione Supervisión>de la configuración de diagnóstico.
Seleccione Agregar configuración de diagnóstico o Editar configuración. No se recomienda agregar más de una fila de configuración de diagnóstico en el contexto de Microsoft Purview. En otras palabras, si ya tiene una fila de configuración de diagnóstico, no seleccione Agregar diagnóstico. Seleccione Editar en su lugar.
Seleccione las casillas audit y allLogs para habilitar la recopilación de registros de auditoría. Opcionalmente, seleccione AllMetrics si también desea capturar unidades de capacidad de Mapa de datos y métricas de tamaño de mapa de datos de la cuenta.
Se ha completado la configuración de diagnóstico en la cuenta de Microsoft Purview.
Ahora que se ha completado la configuración del registro de auditoría de diagnóstico, configure las opciones de captura de datos y retención de datos para Event Hubs.
Vaya a la página principal Azure Portal y busque el nombre del espacio de nombres de Event Hubs que creó anteriormente.
Vaya al espacio de nombres de Event Hubs. Seleccione Datos decapturade Event Hubs>.
Proporcione el nombre del espacio de nombres de Event Hubs y el centro de eventos donde desea que se capturen y transmitan la auditoría y el diagnóstico. Modifique los valores ventana de tiempo y ventana de tamaño para el período de retención de los eventos de streaming. Seleccione Guardar.
Opcionalmente, en el menú de la izquierda, vaya a Propiedades y cambie Retención de mensajes a cualquier valor entre uno y siete días. El valor del período de retención depende de la frecuencia de los trabajos programados o de los scripts que haya creado para escuchar y capturar continuamente los eventos de streaming. Si programa una captura una vez cada semana, mueva el control deslizante a siete días.
En esta fase, se completa la configuración de Event Hubs. El portal de gobernanza de Microsoft Purview comenzará a transmitir todos sus datos de historial de auditoría y diagnóstico a este centro de eventos. Ahora puede continuar con la lectura, extracción y realización de análisis y operaciones adicionales en los eventos de diagnóstico y auditoría capturados.
Leer eventos de auditoría capturados
Para analizar los datos de registro de auditoría y diagnóstico capturados:
Vaya a Procesar datos en la página Event Hubs para ver una vista previa de los registros y diagnósticos de auditoría capturados.
Cambie entre las vistas Table y Raw de la salida JSON.
Seleccione Descargar datos de ejemplo y analice los resultados cuidadosamente.
Ahora que sabe cómo recopilar esta información, puede usar scripts automáticos y programados para extraer, leer y realizar análisis adicionales en los datos de diagnóstico y auditoría de Event Hubs. Incluso puede crear sus propias utilidades y código personalizado para extraer el valor empresarial de los eventos de auditoría capturados.
Estos registros de auditoría también se pueden transformar en Excel, cualquier base de datos, dataverse o base de datos de Synapse Analytics para análisis e informes mediante Power BI.
Aunque puede usar cualquier lenguaje de programación o scripting de su elección para leer los centros de eventos, este es un script basado en Python listo. Consulte este tutorial de Python sobre cómo capturar datos de Event Hubs en Azure Storage y leerlos mediante Python (azure-eventhub).
Siguientes pasos
Habilite el registro de auditoría de diagnóstico y inicie el recorrido de Microsoft Purview.