Partekatu honen bidez:


Auditoría de consultas en registros de Azure Monitor.

Los registros de auditoría de las consultas de registro proporcionan datos de telemetría sobre la ejecución de consultas de registro en Azure Monitor. Esto incluye información como cuándo se ejecutó una consulta, quién la ejecutó, qué herramienta se usó, el texto de la consulta y las estadísticas de rendimiento que describen la ejecución de la consulta.

Configuración de la auditoría de las consultas

La auditoría de las consultas se habilita con una configuración de diagnóstico en el área de trabajo Log Analytics. Esto le permite enviar datos de auditoría al área de trabajo actual o a cualquier otra área de trabajo de la suscripción, a Azure Event Hubs para enviar datos fuera de Azure o a Azure Storage para su archivo.

Azure portal

Acceda a la configuración de diagnóstico de un área de trabajo de Log Analytics en Azure Portal en cualquiera de las siguientes ubicaciones:

  • En el menú de Azure Monitor, seleccione Configuración de diagnóstico y, a continuación, busque y seleccione el área de trabajo.

    Captura de pantalla de la configuración de diagnóstico de Azure Monitor.

  • En el menú Áreas de trabajo de Log Analytics, seleccione el área de trabajo y, a continuación, seleccione Configuración de diagnóstico.

    Captura de pantalla del área de trabajo de Log Analytics de configuración de diagnóstico.

Plantilla de Resource Manager

Puede obtener un ejemplo de una plantilla de Resource Manager en Configuración de diagnóstico del área de trabajo de Log Analytics.

Datos de auditoría

Cada vez que se ejecuta una consulta, se crea un registro de auditoría. Si envía los datos a un área de trabajo de Log Analytics, se almacena en una tabla llamada LAQueryLogs. En la tabla siguiente se describen las propiedades de cada registro de los datos de auditoría.

Campo Descripción
TimeGenerated Hora UTC a la que se envió la consulta.
CorrelationId Identificador único para identificar la consulta. Se puede usar en escenarios de solución de problemas al ponerse en contacto con Microsoft para obtener ayuda.
AADObjectId Instancia de Microsoft Entra ID de la cuenta de usuario que ha iniciado la consulta.
AADTenantId Identificador de inquilino de la cuenta de usuario que ha iniciado la consulta.
AADEmail Correo electrónico del inquilino de la cuenta de usuario que ha iniciado la consulta.
AADClientId Identificador y nombre resuelto de la aplicación utilizada para iniciar la consulta.
RequestClientApp Nombre resuelto de la aplicación utilizada para iniciar la consulta. Para más información, consulte soliictar aplicación cliente.
QueryTimeRangeStart Inicio del intervalo de tiempo seleccionado para la consulta. Este valor podría no rellenarse en determinados escenarios, como cuando la consulta se inicia desde Log Analytics y el intervalo de tiempo se especifica dentro de la consulta en lugar de en el selector de tiempo.
QueryTimeRangeEnd Fin del intervalo de tiempo seleccionado para la consulta. Este valor podría no rellenarse en determinados escenarios, como cuando la consulta se inicia desde Log Analytics y el intervalo de tiempo se especifica dentro de la consulta en lugar de en el selector de tiempo.
QueryText Texto de la consulta que se ha ejecutado.
RequestTarget Dirección URL de la API que se usó para enviar la consulta.
RequestContext Lista de recursos en los que se solicitó la ejecución de la consulta. Contiene hasta tres matrices de cadenas: áreas de trabajo, aplicaciones y recursos. Las consultas dirigidas a grupos de recursos o suscripciones se mostrarán como recursos. Incluye el destino implícito por RequestTarget.
Si se puede resolver, se incluirá el identificador de recurso de cada recurso. Es posible que no se pueda resolver si se devuelve un error al acceder al recurso. En este caso, se usará el texto específico de la consulta.
Si la consulta usa un nombre ambiguo, como un nombre de área de trabajo que existe en varias suscripciones, se usará este nombre ambiguo.
RequestContextFilters Conjunto de filtros especificado como parte de la invocación de la consulta. Incluye hasta tres matrices de cadenas posibles:
- ResourceTypes: tipo de recurso para limitar el ámbito de la consulta.
- Workspaces: lista de áreas de trabajo para limitar la consulta.
- WorkspaceRegions: lista de regiones de áreas de trabajo para limitar la consulta.
ResponseCode Código de respuesta HTTP que se devolvió cuando se envió la consulta.
ResponseDurationMs Tiempo que se tardó en devolver la respuesta.
ResponseRowCount Número total de filas devueltas por la consulta.
StatsCPUTimeMs Tiempo total de proceso usado para el cálculo, el análisis y la recuperación de los datos. Solo se rellena si la consulta devuelve el código de estado 200.
StatsDataProcessedKB Cantidad de datos a los que se accedió para procesar la consulta. Se ve afectado por el tamaño de la tabla de destino, el intervalo de tiempo usado, los filtros aplicados y el número de columnas a que se hace referencia. Solo se rellena si la consulta devuelve el código de estado 200.
StatsDataProcessedStart Hora de los datos más antiguos a los que se accedió para procesar la consulta. Se ve influenciado por el intervalo de tiempo explícito de la consulta y los filtros aplicados. Podría ser mayor que el intervalo de tiempo explícito debido a la creación de particiones de datos. Solo se rellena si la consulta devuelve el código de estado 200.
StatsDataProcessedEnd Hora de los datos más recientes a los que se accedió para procesar la consulta. Se ve influenciado por el intervalo de tiempo explícito de la consulta y los filtros aplicados. Podría ser mayor que el intervalo de tiempo explícito debido a la creación de particiones de datos. Solo se rellena si la consulta devuelve el código de estado 200.
StatsWorkspaceCount Número de áreas de trabajo a las que tuvo acceso la consulta. Solo se rellena si la consulta devuelve el código de estado 200.
StatsRegionCount Número de regiones a las que tuvo acceso la consulta. Solo se rellena si la consulta devuelve el código de estado 200.

Solicitar aplicación cliente

RequestClientApp Descripción
AAPBI Integración de Log Analytics con Power BI.
AppAnalytics Experiencias de Log Analytics en Azure Portal.
AppInsightsPortalExtension Workbooks o Application Insights.
ASC_Portal Microsoft Defender for Cloud.
ASI_Portal Sentinel.
AzureAutomation Azure Automation.
AzureMonitorLogsConnector Conector de Azure Monitor Logs.
csharpsdk API Consulta de Log Analytics.
Draft-Monitor creación de alertas de búsqueda de registros en Azure Portal.
Grafana Conector de Grafana.
IbizaExtension Experiencias de Log Analytics en Azure Portal.
infraInsights/container Información de contenedor.
infraInsights/vm Información de VM.
LogAnalyticsExtension Panel de Azure.
LogAnalyticsPSClient API Consulta de Log Analytics.
OmsAnalyticsPBI Integración de Log Analytics con Power BI.
PowerBIConnector Integración de Log Analytics con Power BI.
Sentinel-Investigation-Queries Sentinel.
Sentinel-DataCollectionAggregator Sentinel.
Sentinel-analyticsManagement-customerQuery Sentinel.
Unknown API Consulta de Log Analytics.
UpdateManagement Update Management.

Consideraciones

  • Las consultas solo se registran cuando se ejecutan en un contexto de usuario. No se registrará ningún servicio a servicio dentro de Azure. Los dos conjuntos principales de consultas que engloba esta exclusión son los cálculos de facturación y las ejecuciones de alertas automatizadas. En el caso de las alertas, solo la consulta de alerta programada no se registrará; la ejecución inicial de la alerta en la pantalla de creación de alertas se ejecuta en un contexto de usuario y estará disponible para auditorías.
  • Las estadísticas de rendimiento no están disponibles para las consultas que provienen del proxy de Azure Data Explorer. El resto de los datos de estas consultas se seguirán rellenando.
  • La sugerencia h en las cadenas que ofuscan literales de cadena no afectará a los registros de auditoría de consulta. Las consultas se capturarán exactamente como se enviaron sin la cadena que se ofusca. Debe asegurarse de que solo los usuarios que tienen derechos de cumplimiento para ver estos datos pueden hacerlo; para ello, use los distintos modos de RBAC de Kubernetes o Azure RBAC disponibles en las áreas de trabajo de Log Analytics.
  • En el caso de las consultas que incluyen datos de varias áreas de trabajo, la consulta solo se capturará en las áreas de trabajo a las que el usuario tenga acceso.

Costos

La extensión de diagnóstico de Azure no tiene costo, pero puede incurrir en cargos por los datos ingeridos. Compruebe la página Precios de Azure Monitor del destino en el que va a recopilar los datos.

Pasos siguientes