Configuración de diagnóstico y registros de recursos

  • 8 minutos

Los registros de plataforma proporcionan información detallada de diagnóstico y auditoría para los recursos de Azure y la plataforma Azure de la que dependen. Los registros de plataforma se generan automáticamente.

Los siguientes registros de plataforma están disponibles en Azure:

  • Registros de recurso. Los registros de recursos proporcionan información sobre las operaciones realizadas en un recurso de Azure. Esto se conoce como plano de datos. Entre los ejemplos, se incluye obtener un secreto de un almacén de claves o realizar una solicitud a una base de datos. El contenido de estos registros de recursos varía según el servicio de Azure y el tipo de recurso. Los registros de recurso se conocían anteriormente como registros de diagnóstico.
  • Registros de actividad. Los registros de actividad proporcionan una visión general de las operaciones de cada recurso de Azure de la suscripción desde fuera, en el plano de administración, además de las actualizaciones de los eventos de Service Health. Use el registro de actividad para determinar las interrogantes qué, quién y cuándo para las operaciones de escritura (PUT, POST, DELETE) ejecutadas en los recursos de la suscripción. Hay un único registro de actividad para cada suscripción de Azure.
  • Registros de Microsoft Entra ID. Los registros de Entra ID contienen el historial de la actividad de inicio de sesión y una pista de auditoría de los cambios realizados en Entra ID para un inquilino determinado (anteriormente denominados registros de Azure Active Directory).

Visualización de los registros de plataforma

Existen diferentes opciones para ver y analizar los distintos registros de plataforma de Azure:

  • Vea el registro de actividades mediante los eventos de acceso y Azure Portal desde PowerShell y la CLI de Azure. Consulte Visualización del registro de actividad para más información.
  • Consulte los informes de actividad y seguridad de Azure AD en Azure Portal. Consulte ¿Qué son los informes de Azure AD? para más información.
  • Los registros de recursos se generan automáticamente mediante recursos de Azure compatibles. Debe crear una configuración de diagnóstico para que el recurso almacene y vea el registro.

Configuración de diagnóstico

Los registros de recursos deben tener una configuración de diagnóstico para poder visualizarse. Cree una configuración de diagnóstico para enviar registros de plataforma a uno de los siguientes destinos para análisis u otros fines.

  • Área de trabajo de Log Analytics. Analice todos los registros de todos los recursos de Azure en conjunto y aproveche las ventajas de todas las características disponibles para los registros de Azure Monitor, incluidas las consultas de registro y las alertas de registro. Ancle los resultados de una consulta de registro a un panel de Azure o inclúyala en un libro como parte de un informe interactivo.
  • Centro de eventos. Envíe los datos de registro de la plataforma fuera de Azure, por ejemplo a un sistema SIEM de terceros o a una plataforma de telemetría personalizada a través de Event Hubs.
  • Azure Storage. Archive los registros en el almacenamiento de Azure para la auditoría o la copia de seguridad.

Las métricas de plataforma se envían automáticamente a las métricas de Azure Monitor, de manera predeterminada y sin configurar. Los registros de plataforma proporcionan información detallada de diagnóstico y auditoría para los recursos de Azure y la plataforma Azure de la que dependen:

  • Los registros de recursos no se recopilan hasta que se enrutan a un destino.
  • Los Registros de actividad existen por sí solos, pero se pueden enrutar a otras ubicaciones.

Cada recurso de Azure necesita su propia configuración de diagnóstico, que establece los siguientes criterios:

  • Orígenes: tipo de métrica y datos de registro que se envían a los destinos definidos en la configuración. Los tipos disponibles varían según el tipo de recurso.
  • Destinos: uno o más destinos a los que enviar.

Cada configuración de diagnóstico puede definir un único destino. Si quiere enviar datos a más de un tipo de destino determinado (por ejemplo, dos áreas de trabajo de Log Analytics diferentes), cree varias configuraciones. Cada recurso puede tener hasta cinco configuraciones de diagnóstico.

Hay tres orígenes para la información de diagnóstico:

  • Métricas
  • Registros de recurso
  • Registros de actividad

La configuración AllMetrics enruta las métricas de plataforma de un recurso a otros destinos. Es posible que esta opción no aparezca en todos los proveedores de recursos.

Registros del recurso

Con los registros, puede seleccionar las categorías de registro que desea enrutar individualmente o elegir un grupo de categorías. Los grupos de categorías permiten recopilar de forma dinámica registros de recursos basados en agrupaciones definidas previamente, en lugar de seleccionar categorías de registro individuales. Microsoft define las agrupaciones para ayudar a supervisar casos de uso específicos en todos los servicios de Azure. Los grupos de categorías no se aplican a todos los proveedores de recursos de métricas.

Los grupos de categorías permiten recopilar de forma dinámica registros de recursos basados en agrupaciones definidas previamente, en lugar de seleccionar categorías de registro individuales. Use estas agrupaciones para ayudar a supervisar los casos de uso específicos en todos los servicios de Azure.

Al usar grupos de categorías, ya no podrá:

  • Seleccionar registros de recursos individuales en función de los tipos de categoría individuales.
  • Aplicar la configuración de retención a los registros enviados a Azure Storage.

Hay dos grupos de categorías:

  • Todos. Todos los registros de recursos que ofrece el recurso.
  • Auditoría. Todos los registros de recursos que registran las interacciones del cliente con los datos o la configuración del servicio. Los registros de auditoría son un intento de cada proveedor de recursos de proporcionar los datos de auditoría más relevantes, pero es posible que no se le dé la importancia debida desde la perspectiva de los estándares de auditoría.

La categoría Auditoría es un subconjunto de Todos, pero Azure Portal y la API de REST los consideran configuraciones independientes. Al seleccionar Todo, se recopilan todos los registros de auditoría, independientemente de si también está seleccionada la categoría Auditoría.

Registro de actividad

El registro de actividad de Azure Monitor es un registro de plataforma de Azure que proporciona información sobre los eventos del nivel de suscripción. El registro de actividad incluye información como cuándo se modifica un recurso o se inicia una máquina virtual. Puede ver el registro de actividad en Azure Portal o recuperar entradas con PowerShell y la CLI de Azure.

Para obtener mas funcionalidades, debe crear una configuración de diagnóstico para enviar el registro de actividad a una o varias de estas ubicaciones por los siguientes motivos:

  • Registros de Azure Monitor: para consultas y alertas más complejos y para una retención más larga, de hasta dos años.
  • Azure Event Hubs: para desviar fuera de Azure.
  • Azure Storage: para un archivado a largo plazo más barato.

Puede acceder al registro de actividad desde la mayoría de los menús de Azure Portal. El menú en el que lo abra determinará el filtro inicial. Si lo abre desde el menú Supervisión, el único filtro estará en la suscripción. Si lo abre desde el menú de un recurso, el filtro se establecerá en ese recurso. Siempre puede cambiar el filtro para ver todas las demás entradas. Los eventos del registro de actividad se conservan en Azure durante 90 días y después se eliminan.

Puede enviar el registro de actividad a un área de trabajo de Log Analytics para habilitar la característica Registros de Azure Monitor, donde puede:

  • Correlacionar los datos del registro de actividad con otros datos de supervisión recopilados por Azure Monitor.
  • Consolidar las entradas de registro de varias suscripciones e inquilinos de Azure en una ubicación para su análisis conjunto.
  • Usar las consultas de registro para realizar un análisis complejo y obtener información detallada sobre las entradas del registro de actividad.
  • Usar las alertas de registro con entradas de actividad para una lógica de alertas más compleja.
  • Almacenar las entradas del registro de actividad más allá del período de retención del registro de actividad.

Para enviar el registro de actividad a un área de trabajo de Log Analytics, seleccione Exportar registros de actividad en la página Registros de actividad. Puede enviar el registro de actividad desde cualquier suscripción única hasta un máximo de cinco áreas de trabajo. Los datos del registro de actividad de un área de trabajo de Log Analytics se almacenan en una tabla denominada AzureActivity que se puede recuperar con una consulta de registro en Log Analytics. La estructura de esta tabla varía en función de la categoría de la entrada de registro.

Envíe el registro de actividad a una cuenta de Azure Storage si quiere conservar los datos de registro durante más de 90 días para la auditoría, el análisis estático o hacer una copia de seguridad. Cuando envíe el registro de actividad a Azure, se creará un contenedor de almacenamiento en la cuenta de almacenamiento en cuanto se produzca un evento.