Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los registros de auditoría de las consultas de registro proporcionan datos de telemetría sobre la ejecución de consultas de registro en Azure Monitor. Esto incluye información como cuándo se ejecutó una consulta, quién la ejecutó, qué herramienta se usó, el texto de la consulta y las estadísticas de rendimiento que describen la ejecución de la consulta.
Configuración de la auditoría de las consultas
La auditoría de las consultas se habilita con una configuración de diagnóstico en el área de trabajo Log Analytics. Esto le permite enviar datos de auditoría al área de trabajo actual o a cualquier otra área de trabajo de la suscripción, a Azure Event Hubs para enviar datos fuera de Azure o a Azure Storage para su archivo.
Portal de Azure
Acceda a la configuración de diagnóstico de un área de trabajo de Log Analytics en Azure Portal en cualquiera de las siguientes ubicaciones:
En el menú de Azure Monitor, seleccione Configuración de diagnóstico y, a continuación, busque y seleccione el área de trabajo.
En el menú Áreas de trabajo de Log Analytics, seleccione el área de trabajo y, a continuación, seleccione Configuración de diagnóstico.
Plantilla de Resource Manager
Puede obtener un ejemplo de una plantilla de Resource Manager en Configuración de diagnóstico del área de trabajo de Log Analytics.
Datos de auditoría
Cada vez que se ejecuta una consulta, se crea un registro de auditoría. Si envía los datos a un área de trabajo de Log Analytics, se almacena en una tabla llamada LAQueryLogs. En la tabla siguiente se describen las propiedades de cada registro de los datos de auditoría.
| Campo | Descripción |
|---|---|
| TimeGenerated | Hora UTC a la que se envió la consulta. |
| CorrelationId | Identificador único para identificar la consulta. Se puede usar en escenarios de solución de problemas al ponerse en contacto con Microsoft para obtener ayuda. |
| AADObjectId | Microsoft Entra ID de la cuenta de usuario que ha iniciado la consulta. |
| AADTenantId | Identificador de inquilino de la cuenta de usuario que ha iniciado la consulta. |
| AADEmail | Correo electrónico del inquilino de la cuenta de usuario que ha iniciado la consulta. |
| AADClientId | Identificador y nombre resuelto de la aplicación utilizada para iniciar la consulta. |
| RequestClientApp | Nombre resuelto de la aplicación utilizada para iniciar la consulta. Para más información, consulte solicitar aplicación cliente. |
| QueryTimeRangeStart | Inicio del intervalo de tiempo seleccionado para la consulta. Este valor podría no rellenarse en determinados escenarios, como cuando la consulta se inicia desde Log Analytics y el intervalo de tiempo se especifica dentro de la consulta en lugar de en el selector de tiempo. |
| QueryTimeRangeEnd | Fin del intervalo de tiempo seleccionado para la consulta. Este valor podría no rellenarse en determinados escenarios, como cuando la consulta se inicia desde Log Analytics y el intervalo de tiempo se especifica dentro de la consulta en lugar de en el selector de tiempo. |
| Texto de consulta | Texto de la consulta ejecutada. |
| RequestTarget | Dirección URL de la API que se usó para enviar la consulta. |
| Contexto de Solicitud | Lista de recursos contra los que se solicitó ejecutar la consulta. Contiene hasta tres matrices de cadenas: áreas de trabajo, aplicaciones y recursos. Las consultas dirigidas a grupos de recursos o suscripciones se mostrarán como recursos. Incluye el destino implícito por RequestTarget. Si se puede resolver, se incluirá el identificador de recurso de cada recurso. Es posible que no se pueda resolver si se devuelve un error al acceder al recurso. En este caso, se usará el texto específico de la consulta. Si la consulta usa un nombre ambiguo, como un nombre de área de trabajo que existe en varias suscripciones, se usará este nombre ambiguo. |
| RequestContextFilters | Conjunto de filtros especificado como parte de la invocación de la consulta. Incluye hasta tres matrices de cadenas posibles: - ResourceTypes: tipo de recurso para limitar el ámbito de la consulta. - Workspaces: lista de áreas de trabajo para limitar la consulta. - WorkspaceRegions: lista de regiones de áreas de trabajo para limitar la consulta. |
| Código de respuesta | Código de respuesta HTTP que se devolvió cuando se envió la consulta. |
| DuraciónDeRespuestaMs | Tiempo para que se devuelva la respuesta. |
| ResponseRowCount | Número total de filas devueltas por la consulta. |
| StatsCPUTimeMs | Tiempo total de proceso usado para el cálculo, el análisis y la recuperación de los datos. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsDataProcessedKB | Cantidad de datos a los que se accedió para procesar la consulta. Se ve afectado por el tamaño de la tabla de destino, el intervalo de tiempo usado, los filtros aplicados y el número de columnas a que se hace referencia. Solo se rellena si la consulta devuelve el código de estado 200. |
| InicioDelProcesamientoDeDatosEstadísticos | Hora de los datos más antiguos a los que se accedió para procesar la consulta. Se ve influenciado por el intervalo de tiempo explícito de la consulta y los filtros aplicados. Podría ser mayor que el intervalo de tiempo explícito debido a la creación de particiones de datos. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsDataProcessedEnd | Hora de los datos más recientes a los que se accedió para procesar la consulta. Se ve influenciado por el intervalo de tiempo explícito de la consulta y los filtros aplicados. Podría ser mayor que el intervalo de tiempo explícito debido a la creación de particiones de datos. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsWorkspaceCount | Número de áreas de trabajo a las que tuvo acceso la consulta. Solo se rellena si la consulta devuelve el código de estado 200. |
| StatsRegionCount | Número de regiones a las que tuvo acceso la consulta. Solo se rellena si la consulta devuelve el código de estado 200. |
Solicitar aplicación cliente
| RequestClientApp | Descripción |
|---|---|
| AAPBI | Integración de Log Analytics con Power BI. |
| Analítica de aplicaciones | Experiencias de Log Analytics en el portal de Azure (como el panel Registros). |
| Extensión del Portal de AppInsights | Workbooks o Application Insights. |
| ASC_Portal | Microsoft Defender for Cloud. |
| ASI_Portal | Centinela. |
| AzureAutomation | Azure Automation. |
| AzureMonitorLogsConnector | Conector de Azure Monitor Logs. |
| csharpsdk | API de consulta de Log Analytics. |
| Draft-Monitor | Creación de alertas de búsqueda de registros en el portal de Azure. |
| Grafana | Conector de Grafana. |
| IbizaExtension | Experiencias de Log Analytics en Azure Portal. |
| infraInsights/container | Información de contenedor. |
| infraInsights/vm | Información de VM. |
| LogAnalyticsExtension | Panel de Azure. |
| LogAnalyticsPSClient | API de consulta de Log Analytics. |
| OmsAnalyticsPBI | Integración de Log Analytics con Power BI. |
| PowerBIConnector | Integración de Log Analytics con Power BI. |
| Sentinel-Investigation-Queries | Centinela. |
| Sentinel-DataCollectionAggregator | Centinela. |
| Sentinel-analyticsManagement-customerQuery | Centinela. |
| Desconocido | API de consulta de Log Analytics. |
| Gestión de Actualizaciones | Update Management. |
| M365D_BúsquedaAvanzada | Búsqueda avanzada en Microsoft Defender |
Consideraciones
- El sistema registra las consultas solo cuando se ejecutan en un contexto de usuario. No registra ninguna consulta de servicio a servicio en Azure. Esta exclusión abarca dos conjuntos principales de consultas: cálculos de facturación y ejecuciones automatizadas de alertas. En el caso de las alertas, el sistema no registra las consultas de alertas desencadenadas según una programación. La ejecución inicial de la alerta en la pantalla de creación de alertas, aunque se realiza en un contexto de usuario, está disponible para fines de auditoría.
- Las estadísticas de rendimiento no están disponibles para las consultas que proceden del proxy de Azure Data Explorer. El resto de los datos de estas consultas se siguen rellenando.
- El sistema ahora admite la sugerencia h en cadenas que ofusca literales de cadena (lo que no hacía anteriormente).
- En el caso de las consultas que incluyen datos de varias áreas de trabajo, el sistema captura la consulta solo en esas áreas de trabajo a las que tiene acceso.
Costos
La extensión de diagnóstico de Azure no tiene costo, pero puede incurrir en cargos por los datos ingeridos. Compruebe la página Precios de Azure Monitor del destino en el que va a recopilar los datos.
Pasos siguientes
- Más información sobre la configuración de diagnóstico.
- Más información sobre la optimización de consultas del registro.