Crear, ver y administrar las alertas del registro de actividad mediante Azure MonitorCreate, view, and manage activity log alerts by using Azure Monitor

Información generalOverview

Las alertas del registro de actividad son alertas que se activan cuando un nuevo evento del registro de actividad cumple las condiciones especificadas en la alerta.Activity log alerts are the alerts that get activated when a new activity log event occurs that matches the conditions specified in the alert.

Estas alertas son recursos de Azure, por lo que pueden crearse con una plantilla de Azure Resource Manager.These alerts are for Azure resources and can be created by using an Azure Resource Manager template. También se pueden crear, actualizar o eliminar en Azure Portal.They also can be created, updated, or deleted in the Azure portal. Normalmente es necesario crear alertas del registro de actividad para recibir una notificación si se producen cambios específicos en los recursos de la suscripción de Azure.Typically, you create activity log alerts to receive notifications when specific changes occur to resources in your Azure subscription. Las alertas a menudo se limitan a grupos de recursos o recursos determinados.Alerts are often scoped to particular resource groups or resources. Por ejemplo, es posible que quiera recibir una notificación cuando se elimine cualquier máquina virtual del grupo de recursos de ejemplo myProductionResourceGroup.For example, you might want to be notified when any virtual machine in the sample resource group myProductionResourceGroup is deleted. O bien, podría querer recibir una notificación si se asigna algún rol nuevo a un usuario de la suscripción.Or, you might want to get notified if any new roles are assigned to a user in your subscription.

Importante

No se pueden crear alertas en la notificación de Service Health a través de la interfaz para la creación de alertas del registro de actividad.Alerts on service health notification can't be created via the interface for activity log alert creation. Para obtener más información acerca de cómo crear y usar las notificaciones de Service Health, consulte Receive activity log alerts on service health notifications (Recibir alertas del registro de actividad con las notificaciones de Service Health).To learn more about how to create and use service health notifications, see Receive activity log alerts on service health notifications.

Cuando cree reglas de alertas, asegúrese de lo siguiente:When you create alert rules, ensure the following:

  • La suscripción del ámbito no es diferente de la suscripción donde se creó la alerta.The subscription in the scope isn't different from the subscription where the alert is created.
  • La alerta se configurará según los siguientes tipos de criterios: nivel, estado, autor de la llamada, grupo de recursos, id. del recurso o categoría de eventos del tipo de recurso.The criteria must be the level, status, caller, resource group, resource ID, or resource type event category on which the alert is configured.
  • Solo se permite una condición "allOf".Only one "allOf" condition is allowed.
  • Se puede usar "AnyOf" para permitir varias condiciones en varios campos (por ejemplo, si los campos "status" o "substatus" son iguales a un valor concreto).'AnyOf' can be used to allow multiple conditions over multiple fields (for example, if either the “status” or the “subStatus” fields equal a certain value). Tenga en cuenta que el uso de "AnyOf" está limitado actualmente a la creación de la regla de alerta mediante una implementación de plantilla de ARM.Note that the use of 'AnyOf' is currently limited to creating the alert rule using an ARM template deployment.
  • "ContainsAny" se puede usar para permitir varios valores del mismo campo (por ejemplo, si "operation" es igual a "delete" o "modify").'ContainsAny' can be used to allow multiple values of the same field (for example, if “operation” equals either ‘delete’ or ‘modify’). Tenga en cuenta que el uso de "ContainsAny" está limitado actualmente a la creación de la regla de alerta mediante una implementación de plantilla de ARM.Note that the use of ‘ContainsAny’ is currently limited to creating the alert rule using an ARM template deployment.
  • Cuando la categoría es "administrativo", debe especificar al menos uno de los criterios anteriores en la alerta.When the category is "administrative," you must specify at least one of the preceding criteria in your alert. No puede crear una alerta que se active cada vez que se crea un evento en los registros de actividad.You may not create an alert that activates every time an event is created in the activity logs.
  • No se pueden crear alertas para eventos en la categoría Alerta del registro de actividad.Alerts cannot be created for events in Alert category of activity log.

Azure portalAzure portal

Puede usar Azure Portal para crear y modificar las reglas de alertas del registro de actividad.You can use the Azure portal to create and modify activity log alert rules. Asimismo, se integra la experiencia con el registro de actividad de Azure para garantizar la creación de alertas sin problemas para eventos específicos de interés.The experience is integrated with an Azure activity log to ensure seamless alert creation for specific events of interest.

Crear con Azure PortalCreate with the Azure portal

Use el siguiente procedimiento.Use the following procedure.

  1. En Azure Portal, seleccione Supervisar > Alertas.In the Azure portal, select Monitor > Alerts.

  2. Seleccione Nueva regla de alertas en la esquina superior izquierda de la ventana Alertas.Select New alert rule in the upper-left corner of the Alerts window.

    Nueva alerta de reglas

    Aparece la ventana Crear regla.The Create rule window appears.

    Opciones de la nueva regla de alertas

  3. En Definir condición de alertas, proporcione la siguiente información y haga clic en Hecho:Under Define alert condition, provide the following information, and select Done:

    • Destino de la alerta: Para ver y seleccionar el destino de la nueva alerta, use Filtrar por suscripción / Filtrar por tipo de recurso.Alert target: To view and select the target for the new alert, use Filter by subscription / Filter by resource type. Seleccione el recurso o grupo de recursos de la lista que se muestra.Select the resource or resource group from the list displayed.

      Nota

      Puede seleccionar solo el recurso de seguimiento de Azure Resource Manager, el grupo de recursos o una suscripción completa de una señal del registro de actividad.You can select only Azure Resource Manager tracked resource, resource group, or an entire subscription for an activity log signal.

      Vista de ejemplo de la alerta de destinoAlert target sample view

      Seleccionar destino

    • En Criterios de destino, seleccione Agregar criterios.Under Target criteria, select Add criteria. Se muestran todas las señales disponibles del destino, que incluyen las de varias categorías del registro de actividad.All available signals for the target are displayed, which includes those from various categories of Activity Log. El nombre de la categoría se agrega al nombre del servicio de supervisión.The category name is appended to the Monitor Service name.

    • Seleccione la señal de la lista que se muestra y que corresponde a varias operaciones posibles para el tipo Registro de actividad.Select the signal from the list displayed of various operations possible for the type Activity Log.

      Puede seleccionar la escala de tiempo del historial de registro y la lógica de la alerta correspondiente a esta señal de destino:You can select the log history timeline and the corresponding alert logic for this target signal:

      Pantalla para agregar criteriosAdd criteria screen

      Agregar criterios

      Nota

      Para que las reglas sean de alta calidad y efectivas, pedimos que se añada al menos una condición más a las reglas con la señal "todo administrativo".In order to have a high quality and effective rules, we ask to add at least one more condition to rules with the signal "All Administrative". Como parte de la definición de la alerta, debe rellenar una de las listas desplegables: "Nivel de evento", "Estado" o "Iniciado por" y así la regla será más específica.As a part of the definition of the alert you must fill one of the drop downs: "Event level", "Status" or "Initiated by" and by that the rule will be more specific.

      • Hora del historial: los eventos disponibles para la operación seleccionada se pueden trazar en las últimas 6, 12 o 24 horas o durante la última semana.History time: Events available for the selected operation can be plotted over the last 6, 12, or 24 hours or over the last week.

      • Lógica de alerta:Alert logic:

        • Nivel de evento: Nivel de gravedad del evento: Detallado, Informativo, Advertencia, Error o Crítico.Event level: The severity level of the event: Verbose, Informational, Warning, Error, or Critical.
        • Estado: Estado del evento: Iniciado o Erróneo o Correcto.Status: The status of the event: Started, Failed, or Succeeded.
        • Evento iniciado por: También se denomina "autor de la llamada".Event initiated by: Also known as the caller. La dirección de correo electrónico o el identificador de Azure Active Directory del usuario que realizó la operación.The email address or Azure Active Directory identifier of the user who performed the operation.

        Este gráfico de señal de ejemplo tiene la lógica de alerta aplicada:This sample signal graph has the alert logic applied:

        Criterios seleccionados

  4. En la opción que permite definir los detalles de las alertas, proporcione los datos siguientes:Under Define alert details, provide the following details:

    • Nombre de la regla de alertas: El nombre de la nueva regla de alertas.Alert rule name: The name for the new alert rule.
    • Descripción: La descripción de la nueva regla de alertas.Description: The description for the new alert rule.
    • Guardar la alerta en el grupo de recursos: Seleccione el grupo de recursos donde quiere guardar esta nueva regla.Save alert to resource group: Select the resource group where you want to save this new rule.
  5. En el grupo de acciones, en el menú desplegable, especifique el grupo de acciones que quiere asignar a esta nueva regla de alertas.Under Action group, from the drop-down menu, specify the action group that you want to assign to this new alert rule. O bien, cree un nuevo grupo de acción y asígneselo a la nueva regla.Or, create a new action group and assign it to the new rule. Para crear un nuevo grupo, seleccione + Nuevo grupo.To create a new group, select + New group.

  6. Para habilitar las reglas después de crearlas, seleccione en la opción Habilitar regla tras la creación.To enable the rules after you create them, select Yes for the Enable rule upon creation option.

  7. Seleccione Crear regla de alertas.Select Create alert rule.

    Se crea la nueva regla de alertas del registro de actividad y aparece un mensaje de confirmación en la esquina superior derecha de la ventana.The new alert rule for the activity log is created, and a confirmation message appears in the upper-right corner of the window.

    Puede habilitar, deshabilitar, editar o eliminar una regla.You can enable, disable, edit, or delete a rule. Obtenga más información sobre cómo administrar las reglas del registro de actividad.Learn more about how to manage activity log rules.

Una simple analogía para comprender las condiciones en las que se pueden crear reglas de alertas en el registro de actividad es explorar o filtrar eventos a través del Registro de actividad en Azure Portal.A simple analogy for understanding conditions on which alert rules can be created in an activity log is to explore or filter events via the activity log in the Azure portal. En la pantalla de Azure Monitor: registro de actividad se puede filtrar o buscar un evento necesario y crear una alerta mediante el botón Agregar alerta del registro de actividad.In the Azure Monitor - Activity log screen, you can filter or find the necessary event and then create an alert by using the Add activity log alert button. A continuación, siga los pasos 4 a 7 tal como se mostró anteriormente.Then follow steps 4 through 7 as previously shown.

Agregar una alerta del registro de actividad

Visualización y administración en Azure PortalView and manage in the Azure portal

  1. En Azure Portal, seleccione Supervisar > Alertas.In the Azure portal, select Monitor > Alerts. Seleccione Administrar reglas de alertas en la esquina superior izquierda de la ventana.Select Manage alert rules in the upper-left corner of the window.

    Captura de pantalla que muestra el registro de actividad con el cuadro de búsqueda resaltado.

    Aparece la lista de reglas disponibles.The list of available rules appears.

  2. Busque la regla del registro de actividad que quiera modificar.Search for the activity log rule to modify.

    Buscar las reglas de alertas del registro de actividad

    Puede usar los filtros disponibles: Suscripción, Grupo de recursos, Recursos, Tipo de señal o Estado para buscar la regla de actividad que quiera editar.You can use the available filters, Subscription, Resource group, Resource, Signal type, or Status, to find the activity rule that you want to edit.

    Nota

    Recuerde que solo puede editar las secciones Descripción, Criterios de destino y Grupos de acción.You can edit only Description, Target criteria, and Action groups.

  3. Seleccione la regla y haga doble clic para editar las opciones de la misma.Select the rule, and double-click to edit the rule options. Realice los cambios necesarios y seleccione Guardar.Make the required changes, and then select Save.

    Administración de reglas de alerta

  4. Puede habilitar, deshabilitar, editar o eliminar una regla.You can enable, disable, or delete a rule. Seleccione la opción adecuada en la parte superior de la ventana, después de seleccionar la regla tal como se detalla en el paso 2.Select the appropriate option at the top of the window after you select the rule as described in step 2.

Plantilla del Administrador de recursos de AzureAzure Resource Manager template

Para crear una regla de alerta del registro de actividad mediante una plantilla de Azure Resource Manager, cree un recurso del tipo microsoft.insights/activityLogAlerts.To create an activity log alert rule by using an Azure Resource Manager template, you create a resource of the type microsoft.insights/activityLogAlerts. A continuación, rellene todas las propiedades relacionadas.Then you fill in all related properties. A continuación, se muestra una plantilla que crea una regla de alerta del registro de actividad:Here's a template that creates an activity log alert rule:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "activityLogAlertName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Activity log alert."
      }
    },
    "activityLogAlertEnabled": {
      "type": "bool",
      "defaultValue": true,
      "metadata": {
        "description": "Indicates whether or not the alert is enabled."
      }
    },
    "actionGroupResourceId": {
      "type": "string",
      "metadata": {
        "description": "Resource Id for the Action group."
      }
    }
  },
  "resources": [   
    {
      "type": "Microsoft.Insights/activityLogAlerts",
      "apiVersion": "2017-04-01",
      "name": "[parameters('activityLogAlertName')]",      
      "location": "Global",
      "properties": {
        "enabled": "[parameters('activityLogAlertEnabled')]",
        "scopes": [
            "[subscription().id]"
        ],        
        "condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "operationName",
              "equals": "Microsoft.Resources/deployments/write"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        },
        "actions": {
          "actionGroups":
          [
            {
              "actionGroupId": "[parameters('actionGroupResourceId')]"
            }
          ]
        }
      }
    }
  ]
}

El ejemplo JSON anterior se puede guardar, por ejemplo, como sampleActivityLogAlert.json a los efectos de este tutorial, y puede implementarse con Azure Resource Manager en Azure Portal.The previous sample JSON can be saved as, for example, sampleActivityLogAlert.json for the purpose of this walk-through and can be deployed by using Azure Resource Manager in the Azure portal.

Nota

Tenga en cuenta que las alertas del registro de actividad de nivel más alto se pueden definir como suscripción.Notice that the highest-level activity log alerts can be defined is subscription. Lo que significa que no hay opción para definir la alerta en un par de suscripciones, por lo tanto, la definición debe ser una alerta por suscripción.Meaning there is no option to define alert on couple of subscriptions, therefore the definition should be alert per subscription.

Los campos siguientes son las opciones que puede usar en la plantilla de Azure Resource Manager para los campos de condiciones: Observe que "Resource Health", "Advisor" y "Service Health" tienen campos de propiedades adicionales para sus campos especiales.The following fields are the options that you can use in the Azure Resource Manager template for the conditions fields: Notice that “Resource Health”, “Advisor” and “Service Health” have extra properties fields for their special fields.

  1. resourceId: el identificador del recurso afectado en el evento del registro de actividad en el que se debe generar la alerta.resourceId: The resource ID of the impacted resource in the activity log event that the alert should be generated on.
  2. category: categoría del evento del registro de actividad.category: The category of in the activity log event. Por ejemplo: Administrative, ServiceHealth, ResourceHealth, Autoscale, Security, Recommendation, Policy.For example: Administrative, ServiceHealth, ResourceHealth, Autoscale, Security, Recommendation, Policy.
  3. caller: dirección de correo electrónico o el identificador de Azure Active Directory del usuario que realizó la operación del evento del registro de actividad.caller: The email address or Azure Active Directory identifier of the user who performed the operation of the activity log event.
  4. level: nivel de la actividad del evento del registro de actividad en el que se debe generar la alerta.level: Level of the activity in the activity log event that the alert should be generated on. Por ejemplo: Critical, Error, Warning, Informational, Verbose.For example: Critical, Error, Warning, Informational, Verbose.
  5. operationName: nombre de la operación en el evento del registro de actividad.operationName: The name of the operation in the activity log event. Por ejemplo: Microsoft.Resources/deployments/writeFor example: Microsoft.Resources/deployments/write
  6. resourceGroup: nombre del grupo de recursos del recurso afectado en el evento del registro de actividad.resourceGroup: Name of the resource group for the impacted resource in the activity log event.
  7. resourceProvider: explicación de tipos y proveedor de recursos de Azure.resourceProvider: Azure resource providers and types explanation. Para obtener una lista que asigna proveedores de recursos con servicios de Azure, consulte Proveedores de recursos para servicios de Azure.For a list that maps resource providers to Azure services, see Resource providers for Azure services.
  8. status: cadena que describe el estado de la operación en el evento de actividad.status: String describing the status of the operation in the activity event. Por ejemplo: Started, In Progress, Succeeded, Failed, Active, ResolvedFor example: Started, In Progress, Succeeded, Failed, Active, Resolved
  9. subStatus: Normalmente el código de estado HTTP de la llamada REST correspondiente, pero también puede incluir otras cadenas que describen un subestado.subStatus: Usually the HTTP status code of the corresponding REST call, but can also include other strings describing a substatus. Por ejemplo: Correcto (código de estado HTTP: 200), Creado (código de estado HTTP: 201), Aceptado (código de estado HTTP: 202), Sin contenido (código de estado HTTP: 204), Solicitud incorrecta (código de estado HTTP: 400), No encontrado (código de estado HTTP): 404), Conflicto (código de estado HTTP: 409), Error interno del servidor (código de estado HTTP: 500), Servicio no disponible (código de estado HTTP: Tiempo de espera agotado para la puerta de enlace (código de estado HTTP: 503) 504).For example: OK (HTTP Status Code: 200), Created (HTTP Status Code: 201), Accepted (HTTP Status Code: 202), No Content (HTTP Status Code: 204), Bad Request (HTTP Status Code: 400), Not Found (HTTP Status Code: 404), Conflict (HTTP Status Code: 409), Internal Server Error (HTTP Status Code: 500), Service Unavailable (HTTP Status Code: 503), Gateway Timeout (HTTP Status Code: 504).
  10. resourceType: tipo de recurso que se vio afectado por el evento.resourceType: The type of the resource that was affected by the event. Por ejemplo: Microsoft.Resources/deploymentsFor example: Microsoft.Resources/deployments

Por ejemplo:For example:

"condition": {
          "allOf": [
            {
              "field": "category",
              "equals": "Administrative"
            },
            {
              "field": "resourceType",
              "equals": "Microsoft.Resources/deployments"
            }
          ]
        }

Puede encontrar más información sobre los campos del registro de actividad aquí.More details on the activity log fields you can find here.

Nota

Una regla de alertas nueva del registro de actividad puede tardar hasta 5 minutos en activarse.It might take up to 5 minutes for the new activity log alert rule to become active.

API DE RESTREST API

La API de alertas del registro de actividad de Azure Monitor es una API de REST.The Azure Monitor Activity Log Alerts API is a REST API. Es totalmente compatible con la API de REST de Azure Resource Manager.It's fully compatible with the Azure Resource Manager REST API. Asimismo, se puede usar con PowerShell mediante el cmdlet de Resource Manager o la CLI de Azure.It can be used via PowerShell by using the Resource Manager cmdlet or the Azure CLI.

PowerShellPowerShell

Nota

Este artículo se ha actualizado para usar el módulo Az de Azure PowerShell.This article has been updated to use the Azure Az PowerShell module. El módulo Az de PowerShell es el módulo de PowerShell que se recomienda para interactuar con Azure.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell.To get started with the Az PowerShell module, see Install Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Implementación de la plantilla de Resource Manager con PowerShellDeploy the Resource Manager template with PowerShell

Para usar PowerShell para implementar la plantilla de ejemplo de Resource Manager que se muestra en la sección anterior Plantilla de Azure Resource Manager, use el siguiente comando:To use PowerShell to deploy the sample Resource Manager template shown in the previous Azure Resource Manager template section, use the following command:

New-AzResourceGroupDeployment -ResourceGroupName "myRG" -TemplateFile sampleActivityLogAlert.json -TemplateParameterFile sampleActivityLogAlert.parameters.json

Tenga en cuenta que sampleActivityLogAlert.parameters.json tiene los valores proporcionados para los parámetros que se necesitan para crear las reglas de alertas.where the sampleActivityLogAlert.parameters.json contains the values provided for the parameters needed for alert rule creation.

Usar los cmdlets de PowerShell del registro de actividadUse activity log PowerShell cmdlets

Las alertas del registro de actividad tienen cmdlets dedicados de PowerShell disponibles:Activity log alerts have dedicated PowerShell cmdlets available:

Azure CLIAzure CLI

Los comandos dedicados de la CLI de Azure en el conjunto de comandos az monitor activity-log alert están disponibles para administrar las reglas de alertas del registro de actividad.Dedicated Azure CLI commands under the set az monitor activity-log alert are available for managing activity log alert rules.

Para crear una nueva regla de alertas del registro de actividad, use los siguientes comandos en este orden:To create a new activity log alert rule, use the following commands in this order:

  1. az monitor activity-log alert create: para crear un nuevo recurso de regla de alertas del registro de actividad.az monitor activity-log alert create: Create a new activity log alert rule resource.
  2. az monitor activity-log alert scope: para agregar el ámbito de la regla de alertas creada del registro de actividad.az monitor activity-log alert scope: Add scope for the created activity log alert rule.
  3. az monitor activity-log alert action-group: para agregar un grupo de acciones a la regla de alertas del registro de actividad.az monitor activity-log alert action-group: Add an action group to the activity log alert rule.

Para recuperar un recurso de regla de alertas del registro de actividad, puede usar el comando az monitor activity-log alert show de la CLI de Azure.To retrieve one activity log alert rule resource, use the Azure CLI command az monitor activity-log alert show. Asimismo, para ver todos los recursos de regla de alertas del registro de actividad en un grupo de recursos, use az monitor activity-log alert list.To view all activity log alert rule resources in a resource group, use az monitor activity-log alert list. Para quitar los recursos de regla de alertas del registro de actividad, use el comando az monitor activity-log alert delete de la CLI de Azure.Activity log alert rule resources can be removed by using the Azure CLI command az monitor activity-log alert delete.

Pasos siguientesNext steps