Crear, ver y administrar las alertas del registro de actividad mediante Azure Monitor

Las alertas del registro de actividad son alertas que se activan cuando un nuevo evento del registro de actividad cumple las condiciones especificadas en la alerta. Estas alertas se crean para recursos de Azure con una plantilla de Azure Resource Manager. También se pueden crear, actualizar o eliminar estas alertas en Azure Portal.

Normalmente es necesario crear alertas del registro de actividad para recibir una notificación si se producen cambios específicos en los recursos de la suscripción de Azure. Las alertas a menudo se limitan a grupos de recursos o recursos determinados. Por ejemplo, es posible que quiera recibir una notificación cuando se elimine cualquier máquina virtual del grupo de recursos de ejemplo myProductionResourceGroup. O bien, podría querer recibir una notificación si se asigna algún rol nuevo a un usuario de la suscripción.

Importante

No se pueden crear alertas sobre las notificaciones de estado del servicio mediante la interfaz para crear alertas del registro de actividad. Para obtener más información acerca de cómo crear y usar las notificaciones de Service Health, consulte Receive activity log alerts on service health notifications (Recibir alertas del registro de actividad con las notificaciones de Service Health).

Al crear reglas de alertas, asegúrese de que:

• La suscripción del ámbito no es diferente de la suscripción donde se creó la alerta.
• La alerta se configurará según los siguientes tipos de criterios: nivel, estado, autor de la llamada, grupo de recursos, id. del recurso o categoría de eventos del tipo de recurso.
• No hay condición anyOf o condiciones anidadas en la configuración de alertas JSON. Solo se permite una condición allOf, sin más condiciones allOf o anyOf.
• Cuando la categoría es administrative, debe especificar al menos uno de los criterios anteriores en la alerta. No se puede crear una alerta que se active cada vez que se crea un evento en los registros de actividad.
• No se pueden crear alertas para eventos en la categoría alert del registro de actividad.

Azure Portal

Puede usar Azure Portal para crear y modificar las reglas de alertas del registro de actividad. Asimismo, se integra la experiencia con el registro de actividad de Azure para garantizar la creación de alertas sin problemas para eventos específicos de interés. En Azure Portal puede crear una nueva regla de alerta de registro de actividad, ya sea desde el panel de alertas de Azure Monitor o desde el panel de registro de actividad de Azure Monitor.

Creación de una regla de alertas desde el panel de alertas de Azure Monitor

Aquí se muestra cómo crear una regla de alertas del registro de actividad en Azure Portal:

1. En Azure Portal, seleccione Supervisión. El panel Monitor consolida todas las opciones de configuración y todos los datos de supervisión en una vista.

2. Seleccione Alertas>+ Crear>Regla de alerta.

   Sugerencia

   La mayoría de los paneles de recursos también tienen Alertas en su menú de recursos, bajo Supervisión. También puede crear reglas de alertas desde allí.

3. En la pestaña Ámbito, haga clic en Seleccionar ámbito. A continuación, en el panel de contexto que se carga, seleccione los recursos de destino sobre los que quiere generar una alerta. Use las listas desplegables Filtrar por suscripción, Filtrar por tipo de recurso y Filtrar por ubicación para buscar el recurso que quiere supervisar. También puede utilizar la barra de búsqueda para buscar su recurso.

   Nota

   Como destino, puede seleccionar una suscripción completa, un grupo de recursos o uno o varios recursos específicos de la misma suscripción. Si eligió una suscripción o un grupo de recursos como destino y también selecciona un tipo de recurso, la regla se aplicará a todos los recursos de ese tipo dentro de la suscripción seleccionada o un grupo de recursos. Si elige un recurso de destino específico, la regla solo se aplicará a ese recurso. No puede seleccionar varias suscripciones ni varios recursos de distintas suscripciones.

4. Si el recurso seleccionado tiene operaciones de registro de actividad sobre las que se pueden crear reglas de alertas, verá que en Tipos de señal disponibles aparece Registro de actividad. Puede ver la lista completa de tipos de recursos compatibles para las alertas de registro de actividad en Operaciones del proveedor de recursos de Azure.

   

5. Una vez haya seleccionado un recurso de destino, haga clic en Listo.

6. Vaya a la pestaña Condición. A continuación, en el panel de contexto que se carga, verá una lista de las señales admitidas para el recurso, que incluye las de varias categorías del registro de actividad. Seleccione la señal o la operación del registro de actividad sobre la que quiera crear una regla de alerta.

7. Verá un gráfico para la operación del registro de actividad de las últimas seis horas. Use la lista desplegable Período del gráfico para ver un historial más largo de la operación.

8. En Lógica de alerta, puede definir opcionalmente más criterios de filtrado:

   • Nivel de evento: Nivel de gravedad del evento: Detallado, Informativo, Advertencia, Error o Crítico.
   • Estado: Estado del evento: Iniciado o Erróneo o Correcto.
   • Evento iniciado por: También se denomina "autor de la llamada". La dirección de correo electrónico o el identificador de Azure Active Directory del usuario que realizó la operación.

   Nota

   La definición de al menos uno de estos criterios le ayuda a lograr reglas más eficaces. Por ejemplo, si el ámbito de alerta es una suscripción completa y la señal seleccionada es All Administrative Operations, la regla será más específica si proporciona el nivel de evento, el estado o la información de iniciación.

   

9. Vaya a la pestaña Acciones, donde puede definir qué acciones y notificaciones se desencadenan cuando la regla de alertas genera una alerta. Puede agregar un grupo de acciones a la regla de alertas, ya sea mediante la selección de un grupo de acciones existente o la creación de uno nuevo.

10. Vaya a la pestaña Detalles. En Detalles del proyecto, seleccione el grupo de recursos en el que se guardará el recurso de la regla de alertas. En Detalles de la regla de alertas, especifique un nombre de la regla de alertas. También puede proporcionar una descripción de la regla de alertas.

    Nota

    La gravedad de la alerta para las alertas del registro de actividad no se puede configurar actualmente por el usuario. El nivel de gravedad predeterminado siempre es Sev4.

11. Vaya a Etiquetas, donde puede establecer etiquetas en la regla de alertas que va a crear.

12. Continúe con la pestaña Revisión y creación, donde puede revisar las selecciones antes de crear la regla de alertas. También se realizará una validación automática rápida, que le notificará en caso de que falte información o sea necesario corregir algún valor. Cuando esté listo para crear la regla de alertas, haga clic en Crear.

Creación de una regla de alertas desde el panel del registro de actividad de Azure Monitor

Otra forma de crear una alerta del registro de actividad es comenzar con un evento de registro de actividad que ya se produjo, a través del registro de actividad de Azure Portal.

1. En el panel Azure Monitor: registro de actividad se puede filtrar o buscar un evento que quiera y crear una alerta para eventos similares futuros seleccionando Agregar alerta del registro de actividad.

   

2. Se abre el asistente Crear reglas de alertas con el ámbito y la condición ya rellenados según el evento de registro de actividad seleccionado previamente. Puede editar y modificar el ámbito y la condición en esta fase si es necesario. Tenga en cuenta que, de forma predeterminada, el ámbito y la condición exactos de la nueva regla se copian de los atributos de evento originales. Por ejemplo, el recurso exacto en el que se produjo el evento y el nombre de usuario o servicio específico que inició el evento se incluyen de forma predeterminada en la nueva regla de alertas. Si desea que la regla de alertas sea más general, modifique el ámbito y la condición en consecuencia (consulte los pasos 3 a 9 de la sección "Creación de una regla de alertas desde el panel de alertas de Azure Monitor").

3. A continuación, siga los pasos del 9 al 12 de la sección "Creación de una regla de alertas desde el panel de alertas de Azure Monitor".

Visualización y administración en Azure Portal

1. En Azure Portal, seleccione Supervisar>Alertas. A continuación, seleccione Reglas de alerta.

   Aparece la lista de reglas de alertas disponibles.

2. Filtro o busque la regla del registro de actividad que quiera modificar.

   

   Puede usar los filtros disponibles: Suscripción, Grupo de recursos, Recurso, Tipo de señal o Estado para buscar la regla de actividad que quiere editar.

3. Seleccione la regla de alertas para abrirla y editarla. Realice los cambios necesarios y seleccione Guardar.

Plantilla del Administrador de recursos de Azure

Para crear una regla de alerta del registro de actividad mediante una plantilla de Azure Resource Manager, cree un recurso del tipo microsoft.insights/activityLogAlerts. A continuación, rellene todas las propiedades relacionadas. A continuación, se muestra una plantilla que crea una regla de alerta del registro de actividad:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "activityLogAlertName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Activity log alert."
      }
    },
    "activityLogAlertEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Indicates whether or not the alert is enabled."
      }
    },
    "actionGroupResourceId": {
      "type": "string",
      "metadata": {
        "description": "Resource Id for the Action group."
      }
    }
  },
  "resources": [   
    {
      "type": "Microsoft.Insights/activityLogAlerts",
      "apiVersion": "2017-04-01",
      "name": "[parameters('activityLogAlertName')]",      
      "location": "Global",
      "properties": {
        "enabled": "[parameters('activityLogAlertEnabled')]",
        "scopes": [
            "[subscription().id]"
        ],        
        "condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "operationName",
              "equals": "Microsoft.Resources/deployments/write"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        },
        "actions": {
          "actionGroups":
          [
            {
              "actionGroupId": "[parameters('actionGroupResourceId')]"
            }
          ]
        }
      }
    }
  ]
}

El ejemplo JSON anterior puede guardarse como, por ejemplo, sampleActivityLogAlert.json. Puede implementar el ejemplo mediante Azure Resource Manager en Azure Portal.

Nota

Tenga en cuenta que el nivel más alto en que se pueden definir las alertas del registro de actividad es el de suscripción. No hay ninguna opción para definir una alerta en dos suscripciones. La definición debe ser alertar por suscripción.

Los campos siguientes son las opciones que puede usar en la plantilla de Azure Resource Manager para los campos de condiciones. (Observe que Resource Health, Advisor y Service Health tienen campos de propiedades adicionales para sus campos especiales).

1. resourceId: identificador del recurso afectado en el evento del registro de actividad en el que se debe generar la alerta.
2. category: categoría del evento del registro de actividad. Por ejemplo: Administrative, ServiceHealth, ResourceHealth, Autoscale, Security, Recommendation o Policy.
3. caller: dirección de correo electrónico o el identificador de Azure Active Directory del usuario que realizó la operación del evento del registro de actividad.
4. level: nivel de la actividad del evento del registro de actividad en el que se debe generar la alerta. Por ejemplo, Critical, Error, Warning, Informational o Verbose.
5. operationName: nombre de la operación en el evento del registro de actividad. Por ejemplo: Microsoft.Resources/deployments/write.
6. resourceGroup: nombre del grupo de recursos del recurso afectado en el evento del registro de actividad.
7. resourceProvider Para más información, consulte Tipos y proveedores de recursos de Azure. Para obtener una lista que asigna proveedores de recursos con servicios de Azure, consulte Proveedores de recursos para servicios de Azure.
8. status: cadena que describe el estado de la operación en el evento de actividad. Por ejemplo: Started, In Progress, Succeeded, Failed, Active o Resolved.
9. subStatus: normalmente, es campo es el código de estado HTTP de la llamada de REST correspondiente. Pero también puede incluir otras cadenas que describen un subestado. Algunos ejemplos de códigos de estado HTTP son OK(código de estado HTTP: 200), No Content (código de estado HTTP: 204) y Service Unavailable (código de estado HTTP: 503), entre muchos otros.
10. resourceType: tipo de recurso que se vio afectado por el evento. Por ejemplo: Microsoft.Resources/deployments.

Por ejemplo:

"condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        }

Para más información sobre los campos del registro de actividad, consulte Esquema de eventos del registro de actividad de Azure.

Nota

Una regla de alertas nueva del registro de actividad puede tardar hasta 5 minutos en activarse.

API DE REST

La API de alertas del registro de actividad de Azure Monitor es una API de REST. Es totalmente compatible con la API de REST de Azure Resource Manager. Se puede usar con PowerShell mediante el cmdlet de Resource Manager o la CLI de Azure.

Nota:

En este artículo se usa el módulo Az de PowerShell, que es el módulo de PowerShell que se recomienda para interactuar con Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Implementación de la plantilla de Resource Manager con PowerShell

Para usar PowerShell para implementar la plantilla de ejemplo de Resource Manager que se muestra en la sección anterior Plantilla de Azure Resource Manager, use el siguiente comando:

New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile sampleActivityLogAlert.json -TemplateParameterFile sampleActivityLogAlert.parameters.json

El archivo sampleActivityLogAlert.parameters.json tiene los valores proporcionados para los parámetros que se necesitan para crear las reglas de alertas.

Usar los cmdlets de PowerShell del registro de actividad

Las alertas del registro de actividad tienen cmdlets dedicados de PowerShell disponibles:

• Set-AzActivityLogAlert: crea una nueva alerta de registro de actividad o actualiza una alerta de registro de actividad existente.
• Get-AzActivityLogAlert: obtiene uno o más recursos de alerta del registro de actividad.
• Enable-AzActivityLogAlert: habilita una alerta de registro de actividad existente y establece sus etiquetas.
• Disable-AzActivityLogAlert: deshabilita una alerta de registro de actividad existente y establece sus etiquetas.
• Remove-AzActivityLogAlert: quita una alerta de registro de actividad.

Azure CLI

Se pueden administrar las reglas de alertas del registro de actividad mediante comandos dedicados de la CLI de Azure bajo el conjunto az monitor activity-log alert.

Para crear una nueva regla de alertas del registro de actividad, use los siguientes comandos:

1. az monitor activity-log alert create: para crear un nuevo recurso de regla de alertas del registro de actividad.
2. az monitor activity-log alert scope: para agregar el ámbito de la regla de alertas creada del registro de actividad.
3. az monitor activity-log alert action-group: para agregar un grupo de acciones a la regla de alertas del registro de actividad.

Para recuperar un recurso de regla de alertas del registro de actividad, puede usar el comando az monitor activity-log alert show de la CLI de Azure. Asimismo, para ver todos los recursos de regla de alertas del registro de actividad en un grupo de recursos, use az monitor activity-log alert list. Se pueden quitar los recursos de regla de alertas del registro de actividad con el comando az monitor activity-log alert delete de la CLI de Azure.

Pasos siguientes

• Obtenga información acerca del esquema de webhook para los registros de actividad.
• Lea la información general sobre los registros de actividad.
• Más información sobre los grupos de acciones.
• Más información acerca de las Notificaciones del estado del servicio.