Registro de actividad de AzureAzure Activity log

El Registro de actividad es un registro de plataforma de Azure que proporciona información de los eventos de nivel de suscripción.The Activity log is a platform log in Azure that provides insight into subscription-level events. Esto incluye información como cuándo se modificó un recurso o cuándo se inició una máquina virtual.This includes such information as when a resource is modified or when a virtual machine is started. Puede ver el registro de actividad en Azure Portal o recuperar entradas con PowerShell y la CLI.You can view the Activity log in the Azure portal or retrieve entries with PowerShell and CLI. Para obtener más funciones, debe crear una configuración de diagnóstico para enviar el registro de actividad a los registros de Azure Monitor, a Azure Event Hubs para reenviarlo fuera de Azure o a Azure Storage para archivarlo.For additional functionality, you should create a diagnostic setting to send the Activity log to Azure Monitor Logs, to Azure Event Hubs to forward outside of Azure, or to Azure Storage for archiving. En este artículo se proporcionan detalles sobre cómo visualizar el registro de actividad y enviarlo a diversos destinos.This article provides details on viewing the Activity log and sending it to different destinations.

Vea Creación de una configuración de diagnóstico para enviar registros de plataforma y métricas a diferentes destinos para obtener más detalles sobre la creación y la configuración de las opciones de diagnóstico.See Create diagnostic settings to send platform logs and metrics to different destinations for details on creating a diagnostic setting.

Nota

Las entradas del registro de actividad son generadas por el sistema y no se pueden cambiar ni eliminar.Entries in the Activity Log are system generated and cannot be changed or deleted.

Visualización del registro de actividadView the Activity log

Puede acceder al registro de actividad desde la mayoría de los menús de Azure Portal.You can access the Activity log from most menus in the Azure portal. El menú en el que lo abra determinará el filtro inicial.The menu that you open it from determines its initial filter. Si lo abre desde el menú Supervisión, el único filtro estará en la suscripción.If you open it from the Monitor menu, then the only filter will be on the subscription. Si lo abre desde el menú de un recurso, el filtro se establecerá en ese recurso.If you open it from a resource's menu, then the filter will be set to that resource. Aun así, siempre puede cambiar el filtro para ver todas las demás entradas.You can always change the filter though to view all other entries. Haga clic en Agregar filtro para agregar propiedades adicionales al filtro.Click Add Filter to add additional properties to the filter.

Visualización del registro de actividad

Para obtener una descripción de las categorías del registro de actividad, vea Esquema de eventos del registro de actividad de Azure.For a description of Activity log categories see Azure Activity Log event schema.

Descargar el registro de actividadDownload the Activity log

Seleccione Descargar como archivo .csv para descargar los eventos en la vista actual.Select Download as CSV to download the events in the current view.

Descargar registro de actividad

Visualización del historial de cambiosView change history

En el caso de algunos eventos, puede ver el historial de cambios, en el que se muestran los cambios que se han producido durante la hora del evento.For some events, you can view the Change history, which shows what changes happened during that event time. Seleccione un evento del registro de actividad del que desee obtener información más detallada.Select an event from the Activity Log you want to look deeper into. Seleccione la pestaña Historial de cambios (versión preliminar) para ver los cambios asociados a ese evento.Select the Change history (Preview) tab to view any associated changes with that event.

Lista del historial de cambios para un evento

Si hay cambios asociados con el evento, verá una lista de cambios que puede seleccionar.If there are any associated changes with the event, you'll see a list of changes that you can select. Se abrirá la página Historial de cambios (versión preliminar) .This opens up the Change history (Preview) page. En esta página verá los cambios realizados en el recurso.On this page you see the changes to the resource. El siguiente ejemplo, puede ver no solo que la máquina virtual cambió de tamaño, sino también cuál era el tamaño de la máquina virtual antes de ese cambio y a qué cambió.In the following example, you can see not only that the VM changed sizes, but what the previous VM size was before the change and what it was changed to. Para obtener más información sobre el historial de cambios, vea Obtención de los cambios del recurso.To learn more about change history, see Get resource changes.

Página de historial de cambios que muestra las diferencias

Otros métodos para recuperar eventos del registro de actividadOther methods to retrieve Activity log events

También puede acceder a los eventos del registro de actividad mediante los métodos siguientes.You can also access Activity log events using the following methods.

Envío al área de trabajo de Log AnalyticsSend to Log Analytics workspace

Envíe el registro de actividad a un área de trabajo de Log Analytics para habilitar las características de los registros de Azure Monitor, entre lo que se incluye lo siguiente:Send the Activity log to a Log Analytics workspace to enable the features of Azure Monitor Logs which includes the following:

  • Correlacionar los datos del registro de actividad con otros datos de supervisión recopilados por Azure Monitor.Correlate Activity log data with other monitoring data collected by Azure Monitor.
  • Consolidar las entradas de registro de varias suscripciones e inquilinos de Azure en una ubicación para su análisis conjunto.Consolidate log entries from multiple Azure subscriptions and tenants into one location for analysis together.
  • Usar las consultas de registro para realizar un análisis complejo y obtener información detallada sobre las entradas del registro de actividad.Use log queries to perform complex analysis and gain deep insights on Activity Log entries.
  • Usar las alertas de registro con entradas de actividad, lo que permite una lógica de alertas más compleja.Use log alerts with Activity entries allowing for more complex alerting logic.
  • Almacenar las entradas del registro de actividad durante más de 90 días.Store Activity log entries for longer than 90 days.
  • No se generan cargos por ingesta para los datos del registro de actividad almacenados en un área de trabajo de Log Analytics.No data ingestion charges for Activity log data stored in a Log Analytics workspace.
  • No se generan cargos por retención de datos hasta un período de 90 días para los datos del registro de actividad almacenados en un área de trabajo de Log Analytics.No data retention charges till 90 days for Activity log data stored in a Log Analytics workspace.

Cree una configuración de diagnóstico para enviar el registro de actividad a un área de trabajo de Log Analytics.Create a diagnostic setting to send the Activity log to a Log Analytics workspace. Puede enviar el registro de actividad desde cualquier suscripción única hasta un máximo de cinco áreas de trabajo.You can send the Activity log from any single subscription to up to five workspaces. La recopilación de registros entre inquilinos requiere Azure Lighthouse.Collecting logs across tenants requires Azure Lighthouse.

Los datos del registro de actividad de un área de trabajo de Log Analytics se almacenan en una tabla denominada AzureActivity que se puede recuperar con una consulta de registro en Log Analytics.Activity log data in a Log Analytics workspace is stored in a table called AzureActivity that you can retrieve with a log query in Log Analytics. La estructura de esta tabla varía en función de la categoría de la entrada de registro.The structure of this table varies depending on the category of the log entry. Para obtener una descripción de las propiedades de la tabla, vea la referencia de datos de Azure Monitor.For a description of the table properties, see the Azure Monitor data reference.

Por ejemplo, para ver un recuento de las entradas del registro de actividad para cada categoría, use la consulta siguiente.For example, to view a count of Activity log records for each category, use the following query.

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos los registros de la categoría administrativa, use la consulta siguiente.To retrieve all records in the administrative category, use the following query.

AzureActivity
| where CategoryValue == "Administrative"

Envío a Azure Event HubsSend to Azure Event Hubs

Envíe el registro de actividad a Azure Event Hubs para enviar entradas fuera de Azure, por ejemplo, a un SIEM de terceros o a otras soluciones de Log Analytics.Send the Activity Log to Azure Event Hubs to send entries outside of Azure, for example to a third-party SIEM or other log analytics solutions. Los eventos del registro de actividad de los centros de eventos se consumen en formato JSON con un elemento records que contiene los registros de cada carga.Activity log events from event hubs are consumed in JSON format with a records element containing the records in each payload. El esquema depende de la categoría y se describe en Esquema de la cuenta de almacenamiento y los centros de eventos.The schema depends on the category and is described in Schema from storage account and event hubs.

A continuación se muestran datos de salida de ejemplo de Event Hubs para un registro de actividad:Following is sample output data from Event Hubs for an Activity log:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Envío a Azure StorageSend to Azure storage

Envíe el registro de actividad a una cuenta de Azure Storage si quiere conservar los datos de registro durante más de 90 días para la auditoría, el análisis estático o la copia de seguridad.Send the Activity Log to an Azure Storage account if you want to retain your log data longer than 90 days for audit, static analysis, or backup. Si solo necesita conservar los eventos durante 90 días o menos, no es necesario configurar el archivado en una cuenta de almacenamiento, ya que los eventos del registro de actividades se conservan en la plataforma de Azure durante 90 días.If you only need to retain your events for 90 days or less you do not need to set up archival to a storage account, since Activity Log events are retained in the Azure platform for 90 days.

Cuando envíe el registro de actividad a Azure, se creará un contenedor de almacenamiento en la cuenta de almacenamiento en cuanto se produzca un evento.When you send the Activity log to Azure, a storage container is created in the storage account as soon as an event occurs. Los blobs del contenedor usan la siguiente convención de nomenclatura:The blobs in the container use the following naming convention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por ejemplo, un blob podría tener un nombre similar al siguiente:For example, a particular blob might have a name similar to the following:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada blob PT1H.json contiene un blob JSON de eventos que se produjeron en la hora especificada en la dirección URL del blob (por ejemplo h=12).Each PT1H.json blob contains a JSON blob of events that occurred within the hour specified in the blob URL (for example, h=12). Durante la hora en cuestión, los eventos se anexan al archivo PT1H.json a medida que se producen.During the present hour, events are appended to the PT1H.json file as they occur. El valor en minutos (m = 00) siempre es 00, ya que los eventos del registro de recurso se dividen en blobs individuales por hora.The minute value (m=00) is always 00, since resource log events are broken into individual blobs per hour.

Cada evento se almacena en el archivo PT1H.json con el siguiente formato que usa un esquema de nivel superior común, pero es único para cada categoría, tal como se describe en Esquema del registro de actividad.Each event is stored in the PT1H.json file with the following format that uses a common top level schema but is otherwise unique for each category as described in Activity log schema.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Métodos de recopilación heredadosLegacy collection methods

En esta sección se describen los métodos heredados para recopilar el registro de actividad que se usó antes de la configuración de diagnóstico.This section describes legacy methods for collecting the Activity log that were used prior to diagnostic settings. Si usa estos métodos, debería considerar la posibilidad de realizar la transición a la configuración de diagnóstico, ya que proporciona una mejor funcionalidad y coherencia con los registros de recursos.If you're using these methods, you should consider transitioning to diagnostic settings which provide better functionality and consistency with resource logs.

Perfiles de registroLog profiles

Los perfiles de registro son el método heredado para enviar el registro de actividad a Azure Storage o Event Hubs.Log profiles are the legacy method for sending the Activity log to Azure storage or event hubs. Use el siguiente procedimiento para seguir trabajando con un perfil de registro o deshabilitarlo como preparación para la migración a una configuración de diagnóstico.Use the following procedure to continue working with a log profile or to disable it in preparation for migrating to a diagnostic setting.

  1. En el menú Azure Monitor de Azure Portal, seleccione Registro de actividad.From the Azure Monitor menu in the Azure portal, select Activity log.

  2. Haga clic en Configuración de diagnóstico.Click Diagnostic settings.

    Configuración de diagnóstico

  3. Haga clic en el banner de color púrpura de la experiencia heredada.Click the purple banner for the legacy experience.

    Experiencia heredada

Configuración del perfil de registro mediante PowerShellConfigure log profile using PowerShell

Si ya existe un perfil de registro, primero debe quitarlo y luego crear uno nuevo.If a log profile already exists, you first need to remove the existing log profile and then create a new one.

  1. Use Get-AzLogProfile para identificar si existe un perfil de registro.Use Get-AzLogProfile to identify if a log profile exists. Si existe un perfil de registro, busque la propiedad name.If a log profile does exist, note the name property.

  2. Use Remove-AzLogProfile para quitar el perfil de registro mediante el valor de la propiedad name.Use Remove-AzLogProfile to remove the log profile using the value from the name property.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Use Add-AzLogProfile para crear un nuevo perfil de registro:Use Add-AzLogProfile to create a new log profile:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    PropiedadProperty ObligatorioRequired DescripciónDescription
    NombreName Yes Nombre de su perfil de registro.Name of your log profile.
    StorageAccountIdStorageAccountId NoNo Identificador de recurso de la cuenta de almacenamiento donde se debe guardar el registro de actividad.Resource ID of the Storage Account where the Activity Log should be saved.
    serviceBusRuleIdserviceBusRuleId NoNo Identificador de regla de Service Bus para el espacio de nombres de Service Bus donde desea que se creen centros de eventos.Service Bus Rule ID for the Service Bus namespace you would like to have event hubs created in. Se trata de una cadena con este formato: {service bus resource ID}/authorizationrules/{key name}.This is a string with the format: {service bus resource ID}/authorizationrules/{key name}.
    LocationLocation Yes Lista separada por comas de las regiones para las que desea recopilar eventos del registro de actividad.Comma-separated list of regions for which you would like to collect Activity Log events.
    RetentionInDaysRetentionInDays Yes Número de días que deben retenerse los eventos en la cuenta de almacenamiento, entre 1 y 365.Number of days for which events should be retained in the storage account, between 1 and 365. Con el valor cero, se almacenan los registros indefinidamente.A value of zero stores the logs indefinitely.
    CategoryCategory NoNo Lista separada por comas de las categorías de eventos que deben recopilarse.Comma-separated list of event categories that should be collected. Los valores posibles son Write, Delete y Action.Possible values are Write, Delete, and Action.

Script de ejemploExample script

A continuación se muestra un script de ejemplo de PowerShell para crear un perfil de registro que escribe el registro de actividad en una cuenta de almacenamiento y en un centro de eventos.Following is a sample PowerShell script to create a log profile that writes the Activity Log to both a storage account and event hub.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your event hub belongs to>"
$eventHubNamespace = "<event hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the storage account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Configuración del perfil de registro mediante la CLI de AzureConfigure log profile using Azure CLI

Si ya existe un perfil de registro, primero debe quitar el perfil de registro existente y luego crear un nuevo perfil de registro.If a log profile already exists, you first need to remove the existing log profile and then create a new log profile.

  1. Use az monitor log-profiles list para identificar si existe un perfil de registro.Use az monitor log-profiles list to identify if a log profile exists.

  2. Use az monitor log-profiles delete --name "<log profile name> para quitar el perfil de registro mediante el valor de la propiedad name.Use az monitor log-profiles delete --name "<log profile name> to remove the log profile using the value from the name property.

  3. Use az monitor log-profiles create para crear un nuevo perfil de registro:Use az monitor log-profiles create to create a new log profile:

    az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<EVENT HUB NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
    
    PropiedadProperty ObligatorioRequired DescripciónDescription
    namename Yes Nombre de su perfil de registro.Name of your log profile.
    storage-account-idstorage-account-id Yes Identificador de recurso de la cuenta de almacenamiento donde se deben guardar los registros de actividades.Resource ID of the Storage Account to which Activity Logs should be saved.
    locationslocations Yes Lista separada por espacios de las regiones para las que desea recopilar eventos del registro de actividad.Space-separated list of regions for which you would like to collect Activity Log events. Puede ver una lista de todas las regiones para la suscripción con az account list-locations --query [].name.You can view a list of all regions for your subscription using az account list-locations --query [].name.
    daysdays Yes Número de días que deben retenerse los eventos, entre 1 y 365.Number of days for which events should be retained, between 1 and 365. Con el valor cero, se almacenarán los registros indefinidamente (de manera indefinida).A value of zero will store the logs indefinitely (forever). Si el valor es cero, el parámetro enabled se debe establecer en false.If zero, then the enabled parameter should be set to false.
    enabledenabled Yes True o False.True or False. Se usa para habilitar o deshabilitar la directiva de retención.Used to enable or disable the retention policy. Si el valor es True, el parámetro de días debe ser un valor mayor que 0.If True, then the days parameter must be a value greater than 0.
    categoriescategories Yes Lista separada por espacios de las categorías de eventos que deben recopilarse.Space-separated list of event categories that should be collected. Los valores posibles son Write, Delete y Action.Possible values are Write, Delete, and Action.

Área de trabajo de Log AnalyticsLog Analytics workspace

El método heredado para enviar el registro de actividad en un área de trabajo de Log Analytics está conectando el registro en la configuración del área de trabajo.The legacy method for sending the Activity log into a Log Analytics workspace is connecting the log in the workspace configuration.

  1. Desde el menú Áreas de trabajo de Log Analytics en Azure Portal, seleccione el área de trabajo para recopilar el registro de actividad.From the Log Analytics workspaces menu in the Azure portal, select the workspace to collect the Activity Log.

  2. En la sección Orígenes de datos del área de trabajo del menú del área de trabajo, seleccione Registro de actividad de Azure.In the Workspace Data Sources section of the workspace's menu, select Azure Activity log.

  3. Haga clic en la suscripción que desea conectar.Click the subscription you want to connect.

    Captura de pantalla que muestra el área de trabajo de Log Analytics con un registro de actividad de Azure seleccionado.

  4. Haga clic en Conectar para conectar el registro de actividad en la suscripción al área de trabajo seleccionada.Click Connect to connect the Activity log in the subscription to the selected workspace. Si la suscripción ya está conectada a otra área de trabajo, haga clic en Desconectar primero para desconectarla.If the subscription is already connected to another workspace, click Disconnect first to disconnect it.

    Conexión de áreas de trabajo

Para deshabilitar la configuración, realice el mismo procedimiento y haga clic en Desconectar para quitar la suscripción del área de trabajo.To disable the setting, perform the same procedure and click Disconnect to remove the subscription from the workspace.

Cambios en la estructura de datosData structure changes

La configuración de diagnóstico envía los mismos datos que el método heredado que se usa para enviar el registro de actividad con algunos cambios en la estructura de la tabla AzureActivity.Diagnostic settings send the same data as the legacy method used to send the Activity log with some changes to the structure of the AzureActivity table.

Las columnas de la tabla siguiente están en desuso en el esquema actualizado.The columns in the following table have been deprecated in the updated schema. Todavía existen en AzureActivity, pero no tienen datos.They still exist in AzureActivity but they will have no data. El reemplazo de estas columnas no es nuevo, pero contiene los mismos datos que la columna en desuso.The replacement for these columns are not new, but they contain the same data as the deprecated column. Tienen un formato distinto, por lo que es posible que tenga que modificar las consultas de registro que las utilizan.They are in a different format, so you may need to modify log queries that use them.

Columna en desusoDeprecated column Columna de reemplazoReplacement column
ActivityStatusActivityStatus ActivityStatusValueActivityStatusValue
ActivitySubstatusActivitySubstatus ActivitySubstatusValueActivitySubstatusValue
CategoryCategory CategoryValueCategoryValue
OperationNameOperationName OperationNameValueOperationNameValue
ResourceProviderResourceProvider ResourceProviderValueResourceProviderValue

Importante

En algunos casos, los valores de estas columnas pueden estar en mayúsculas.In some cases, the values in these columns may be in all uppercase. Si tiene una consulta que incluye estas columnas, debe usar el operador =~ para realizar una comparación sin distinguir entre mayúsculas y minúsculas.If you have a query that includes these columns, you should use the =~ operator to do a case insensitive comparison.

La columna siguiente se ha agregado a AzureActivity en el esquema actualizado:The following column have been added to AzureActivity in the updated schema:

  • Authorization_dAuthorization_d
  • Claims_dClaims_d
  • Properties_dProperties_d

Solución de supervisión de Activity Log AnalyticsActivity Log Analytics monitoring solution

La solución de supervisión de Azure Log Analytics entrará en desuso pronto y se reemplazará por un libro que use el esquema actualizado en el área de trabajo de Log Analytics.The Azure Log Analytics monitoring solution will be deprecated soon and replaced by a workbook using the updated schema in the Log Analytics workspace. Puede seguir usando la solución si ya está habilitada, pero solo se puede usar si va a recopilar el registro de actividad mediante la configuración heredada.You can still use the solution if you already have it enabled, but it can only be used if you're collecting the Activity log using legacy settings.

Uso de la soluciónUse the solution

A las soluciones de supervisión se accede desde el menú Supervisar de Azure Portal.Monitoring solutions are accessed from the Monitor menu in the Azure portal. Seleccione Más en la sección Información detallada para abrir la página Información general con los iconos de la solución.Select More in the Insights section to open the Overview page with the solution tiles. El icono Registros de actividad de Azure muestra un recuento del número de registros AzureActivity del área de trabajo.The Azure Activity Logs tile displays a count of the number of AzureActivity records in your workspace.

Icono Registros de actividad de Azure

Haga clic en el icono Registros de actividad de Azure para abrir la vista Registros de actividad de Azure.Click the Azure Activity Logs tile to open the Azure Activity Logs view. La vista incluye los elementos de visualización de la tabla siguiente.The view includes the visualization parts in the following table. Cada uno de ellos muestra hasta otros diez elementos que coinciden con sus criterios para el intervalo de tiempo especificado.Each part lists up to 10 items matching that parts's criteria for the specified time range. Puede ejecutar una consulta de registros que devuelve todos los registros coincidentes; para ello, haga clic en Ver todo en la parte inferior del elemento.You can run a log query that returns all matching records by clicking See all at the bottom of the part.

Panel Registros de actividad de Azure

Habilitación de la solución para nuevas suscripcionesEnable the solution for new subscriptions

Pronto dejará de poder agregar la solución de Activity Logs Analytics a la suscripción mediante Azure Portal.You will soon no longer be able to add the Activity Logs Analytics solution to your subscription using the Azure portal. Puede agregarlo mediante el siguiente procedimiento con una plantilla de Resource Manager.You can add it using the following procedure with a Resource Manager template.

  1. Copie el siguiente JSON en un archivo denominado ActivityLogTemplateCopy the following json into a file called ActivityLogTemplate.json.

    {
    "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "type": "String",
            "defaultValue": "my-workspace",
            "metadata": {
              "description": "Specifies the name of the workspace."
            }
        },
        "location": {
            "type": "String",
            "allowedValues": [
              "east us",
              "west us",
              "australia central",
              "west europe"
            ],
            "defaultValue": "australia central",
            "metadata": {
              "description": "Specifies the location in which to create the workspace."
            }
        }
      },
        "resources": [
        {
            "type": "Microsoft.OperationalInsights/workspaces",
            "name": "[parameters('workspaceName')]",
            "apiVersion": "2015-11-01-preview",
            "location": "[parameters('location')]",
            "properties": {
                "features": {
                    "searchVersion": 2
                }
            }
        },
        {
            "type": "Microsoft.OperationsManagement/solutions",
            "apiVersion": "2015-11-01-preview",
            "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
            ],
            "plan": {
                "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
                "promotionCode": "",
                "product": "OMSGallery/AzureActivity",
                "publisher": "Microsoft"
            },
            "properties": {
                "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]",
                "containedResources": [
                    "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName')), '/views/AzureActivity(',parameters('workspaceName'))]"
                ]
            }
        },
        {
          "type": "Microsoft.OperationalInsights/workspaces/datasources",
          "kind": "AzureActivityLog",
          "name": "[concat(parameters('workspaceName'), '/', subscription().subscriptionId)]",
          "apiVersion": "2015-11-01-preview",
          "location": "[parameters('location')]",
          "dependsOn": [
              "[parameters('WorkspaceName')]"
          ],
          "properties": {
              "linkedResourceId": "[concat(subscription().Id, '/providers/microsoft.insights/eventTypes/management')]"
          }
        }
      ]
    }    
    
  2. Implemente la plantilla con los siguientes comandos de PowerShell:Deploy the template using the following PowerShell commands:

    Connect-AzAccount
    Select-AzSubscription <SubscriptionName>
    New-AzResourceGroupDeployment -Name activitysolution -ResourceGroupName <ResourceGroup> -TemplateFile <Path to template file>
    

Pasos siguientesNext steps