Registro de actividad en Azure Monitor

El registro de actividad de Azure Monitor es un registro de plataforma para eventos del plano de control de recursos de Azure. Incluye información como cuando se modifica un recurso o cuando se produce un error de implementación. Use el registro de actividad para revisar o auditar esta información de los recursos que supervisa o cree una alerta para recibir una notificación proactiva cuando se cree un evento.

Sugerencia

Si fue dirigido a este artículo debido a un error en la operación de implementación, consulte Solucionar problemas comunes de implementación en Azure.

Entradas del registro de actividad

Las entradas del registro de actividad se recopilan de forma predeterminada sin ninguna configuración necesaria. Se generan en el sistema y no se pueden cambiar ni eliminar. Normalmente, las entradas son el resultado de los cambios (creación, actualización, operaciones de eliminación) o una acción iniciada. Las operaciones centradas en leer detalles de un recurso no suelen capturarse. Para obtener una descripción de las categorías del registro de actividad, consulte Azure esquema de eventos del registro de actividad.

Nota:

Las operaciones sobre el plano de control se registran en Registros de Recursos de Azure. Estos no se recopilan de forma predeterminada y requieren que se recopile una configuración de diagnóstico .

Período de retención

Los eventos del registro de actividad se conservan en Azure para 90 días y, a continuación, se eliminan. No se aplican cargos por las entradas durante este tiempo, independientemente del volumen. Para obtener más funcionalidad, como la retención más larga, cree una configuración de diagnóstico y enrute las entradas a otra ubicación en función de sus necesidades.

Visualización y recuperación del registro de actividad

Puede acceder al registro de actividad desde la mayoría de los menús del portal de Azure. El menú en el que lo abra determinará el filtro inicial. Si lo abre desde el menú Supervisión , el único filtro se encuentra en la suscripción. Si lo abre desde el menú de un recurso, el filtro se establecerá en ese recurso. Siempre puede cambiar el filtro para ver todas las demás entradas. Seleccione Agregar filtro para agregar más propiedades al filtro.

Captura de pantalla que muestra el registro de actividad.

También puede acceder a los eventos del registro de actividad mediante los métodos siguientes:

• Use el cmdlet Get-AzLog para recuperar el registro de actividad desde PowerShell. Consulte Azure Monitor ejemplos de PowerShell.
• Use az monitor activity-log para recuperar el registro de actividad desde la CLI. Consulte los ejemplos de CLI de Azure Monitor.

• Use la API REST Azure Monitor para recuperar el registro de actividad de un cliente REST.

Visualización del historial de cambios

En el caso de algunos eventos, puede ver el historial de cambios, en el que se muestran los cambios que se han producido durante la hora del evento. Seleccione un evento en el registro de actividad que quiera examinar más profundamente. Seleccione la pestaña Historial de cambios para ver los cambios en el recurso hasta 30 minutos antes y después del tiempo de la operación.

Captura de pantalla que muestra la lista Historial de cambios de un evento.

Si hay cambios asociados con el evento, verá una lista de cambios que puede seleccionar. Al seleccionar un cambio, se abre la página Historial de cambios. En esta página, se muestran los cambios en el recurso. En el ejemplo siguiente, puede ver que la máquina virtual ha cambiado los tamaños. La página muestra el tamaño de la máquina virtual antes del cambio y después del cambio. Para más información sobre el historial de cambios, consulte Obtención de cambios en los recursos.

Captura de pantalla que muestra la página Historial de cambios que muestra las diferencias.

Información del registro de actividad

La información del registro de actividad es un libro que proporciona un conjunto de paneles que supervisan los cambios en los recursos y los grupos de recursos de una suscripción. Los paneles también presentan datos sobre qué usuarios o servicios realizaron actividades en la suscripción y el estado de las actividades.

Para habilitar la información del registro de actividad, exporte el registro de actividad a un área de trabajo de Log Analytics tal como se describe en Export activity log. Esto envía eventos a la tabla que usa la información del registro de actividad.

Captura de pantalla que muestra los paneles de información del registro de actividad.

Puede acceder a los informes del registro de actividad a nivel de suscripción o de recurso. Para la suscripción, seleccione Información de registros de actividad en la sección Libros de Trabajo del menú Monitor.

Recorte de pantalla que muestra cómo encontrar y abrir el libro de Información de los registros de actividad en un nivel de escala.

Para un recurso individual, seleccione Información sobre registros de actividad en la sección Cuadernos del menú del recurso.

Recorte de pantalla que muestra cómo encontrar y abrir el libro de Información de los registros de actividad en un nivel de recurso.

Exportar registro de actividad

Cree una configuración de diagnóstico para enviar entradas del registro de actividad a otros destinos para una funcionalidad y un tiempo de retención adicionales.

Diagrama que muestra la recopilación de registros de actividad, registros de recursos y métricas de la plataforma.

En el portal de Azure, seleccione Activity log en el menú Azure Monitor y, a continuación, seleccione Export Activity Logs. Consulte Configuración de diagnóstico en Azure Monitor para obtener otros detalles y otros métodos para crear la configuración de diagnóstico. Asegúrese de deshabilitar cualquier configuración heredada para el registro de actividad.

La información siguiente proporciona más detalles sobre los diferentes destinos a los que se pueden enviar registros de recursos.

Nota:

El método heredado para exportar el registro de actividad es perfiles de registro. Consulte Métodos de colección heredados.

Área de trabajo de Log Analytics

Envíe el registro de actividad a un área de trabajo de Log Analytics para la funcionalidad siguiente:

• Correlacione los registros de actividad con otros datos de registro mediante consultas de registro.
• Cree alertas de registro que puedan usar una lógica más compleja que las alertas del registro de actividad.
• Acceda a los datos del registro de actividad con Power BI.
• Conservar los datos del registro de actividad durante más de 90 días.

No hay cargos de ingesta de datos para los registros de actividad. Los cargos de retención de los registros de actividad solo se aplican al período extendido más allá del período de retención predeterminado de 90 días. Puede aumentar el período de retención hasta 12 años.

Los datos del registro de actividad de un área de trabajo de Log Analytics se almacenan en una tabla denominada AzureActivity. La estructura de esta tabla varía en función de la categoría de la entrada de registro.

Por ejemplo, para ver un recuento de las entradas del registro de actividad para cada categoría, use la consulta siguiente:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos los registros de la categoría administrativa, use la consulta siguiente:

AzureActivity
| where CategoryValue == "Administrative"

Importante

En algunos escenarios, es posible que los valores de los campos de puedan tener diferentes mayúsculas de minúsculas de otros valores equivalentes. Al consultar datos en , use operadores que no distingan entre mayúsculas y minúsculas para las comparaciones de cadenas, o use una función escalar para forzar un campo a un formato uniforme antes de realizar cualquier comparación. Por ejemplo, use la función tolower() en un campo para forzar que siempre esté en minúsculas o el operador =~ al realizar una comparación de cadenas.

Azure Event Hubs

Envíe el registro de actividad a Azure Event Hubs para enviar entradas fuera de Azure, por ejemplo, a un SIEM de terceros u otras soluciones de análisis de registros. Los eventos del registro de actividad de Event Hubs se consumen en formato JSON con un elemento que contiene los registros de cada carga. El esquema depende de la categoría y se describe en esquema del evento del registro de actividad de Azure.

A continuación, se muestran datos de salida de ejemplo de Event Hubs para un registro de actividad:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Azure Storage

Envíe el registro de actividad a una cuenta de Azure Storage si desea conservar los datos de registro durante más de 90 días para la auditoría, el análisis estático o la copia de seguridad. Si tiene que conservar los eventos durante 90 días o menos, no necesita configurar el archivado en una cuenta de almacenamiento.

Al enviar el registro de actividad al almacenamiento, se crea un contenedor de almacenamiento en la cuenta de almacenamiento en cuanto se produce un evento. Los blobs del contenedor usan la siguiente convención de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por ejemplo, un blob determinado podría tener un nombre similar al siguiente:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada blob contiene un objeto JSON con eventos de archivos de registro que se recibieron durante la hora especificada en la dirección URL del blob. Durante la hora actual, los eventos se anexan al archivo PT1H.json a medida que se reciben, independientemente de cuándo se generaron. El valor de minuto de la dirección URL siempre es , ya que los blobs se crean por hora.

En el archivo PT1H.json, los eventos se almacenan con el siguiente formato. Este formato usa un esquema de nivel superior común, pero es único para cada categoría, tal como se describe en Esquema del registro de actividad.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Exportación de registros de grupos de administración

Al crear un registro de configuración de diagnóstico para un grupo de administración, exportará los eventos de ese grupo de administración, además de todos los grupos de administración de la jerarquía. Si varios grupos de administración de la jerarquía tienen configuraciones de diagnóstico, recibirá eventos duplicados. Solo necesita una configuración de diagnóstico en el grupo de administración de nivel más alto para capturar todos los eventos de la jerarquía.

El grupo de administración también recopilará muchos eventos iguales que cualquier suscripción bajo él. Si tanto la suscripción como el grupo de administración tienen sus propias configuraciones de diagnóstico, recibirá eventos duplicados.

Por ejemplo, si tiene MG1 que contiene MG2 que contiene Subscription1, una configuración de diagnóstico en MG1 capturará todos los eventos del registro de actividad para MG1, MG2, así como muchos de los eventos recogidos por una configuración de diagnóstico en Subscription1. En este caso, no se necesita ninguna configuración de diagnóstico en MG2, ya que simplemente recopilaría eventos duplicados.

Si tiene eventos duplicados, puede combinarlos mediante una consulta que use un hash de todos los campos para identificar registros únicos. En el ejemplo siguiente, la consulta kusto muestra un ejemplo para los registros recopilados en un área de trabajo de Log Analytics:

AzureActivity
| extend Hash = hash(dynamic_to_json(pack_all()))
| summarize arg_max(TimeGenerated, *) by Hash

Exportar a CSV

Seleccione Descargar como CSV para exportar el registro de actividad a un archivo CSV mediante el portal de Azure.

Captura de pantalla que muestra la opción para exportar a CSV.

Importante

La exportación puede tardar un tiempo excesivo si tiene un gran número de entradas de registro. Para mejorar el rendimiento, reduzca el intervalo de tiempo de la exportación. En el portal de Azure, se establece con la configuración Timespan.

También puede exportar el registro de actividad a un archivo CSV mediante PowerShell o el Azure CLI como en los ejemplos siguientes.

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

El siguiente script de PowerShell de ejemplo exporta el registro de actividad a archivos CSV en intervalos de una hora, cada uno de los cuales se guarda en un archivo independiente.

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

Identificación de la creación de recursos

Uno de los usos comunes del registro de actividad es determinar cuándo se creó un recurso y quién lo creó. El registro de actividad es la única ubicación donde se conserva el creador de un recurso. Dado que el registro de actividad se conserva durante 90 días, solo puede encontrar el creador de un recurso si se creó en los últimos 90 días.

Como se ha descrito anteriormente, exporte el registro de actividad a un área de trabajo de Log Analytics para una retención más larga. En este caso, puede encontrar el creador de un recurso consultando la tabla y los datos se conservan siempre y cuando haya especificado el período de retención de esta tabla.

Pasos siguientes

Más información sobre:

• Esquema de evento del registro de actividad
• Registros de recursos
• Configuración de diagnóstico