Registro de actividad de Azure

El Registro de actividad es un registro de plataforma de Azure que proporciona información de los eventos de nivel de suscripción. El registro de actividad incluye información como, por ejemplo, cuándo se modificó un recurso o cuándo se inició una máquina virtual. Puede ver el registro de actividad en Azure Portal o recuperar entradas con PowerShell y la CLI. En este artículo se proporcionan detalles sobre cómo visualizar el registro de actividad y enviarlo a diversos destinos.

Para obtener mas funcionalidades, debe crear una configuración de diagnóstico para enviar el registro de actividad a una o varias de estas ubicaciones por los siguientes motivos:

  • a los registros de Azure Monitor para aumentar la complejidad de las consultas y las alertas, así como la duración de la retención (hasta dos años)
  • a Azure Event Hubs para reenviarlo fuera de Azure
  • a Azure Storage para obtener un archivado a largo plazo y más barato

Vea Creación de una configuración de diagnóstico para enviar registros de plataforma y métricas a diferentes destinos para obtener más detalles sobre la creación y la configuración de las opciones de diagnóstico.

Nota

Las entradas del registro de actividad son generadas por el sistema y no se pueden cambiar ni eliminar.

Período de retención

Los eventos del registro de actividad se conservan en Azure durante 90 días y después se eliminan. No se aplican cargos por las entradas durante este tiempo, independientemente del volumen. Para obtener más funcionalidades, como un mayor tiempo de retención, debe crear una configuración de diagnóstico y enrutar las entradas a otra ubicación en función de sus necesidades. Consulte los criterios en la sección anterior de este artículo.

Visualización del registro de actividad

Puede acceder al registro de actividad desde la mayoría de los menús de Azure Portal. El menú en el que lo abra determinará el filtro inicial. Si lo abre desde el menú Supervisión, el único filtro estará en la suscripción. Si lo abre desde el menú de un recurso, el filtro se establecerá en ese recurso. Aun así, siempre puede cambiar el filtro para ver todas las demás entradas. Seleccione Agregar filtro para agregar más propiedades al filtro.

View Activity Log

Para obtener una descripción de las categorías del registro de actividad, vea Esquema de eventos del registro de actividad de Azure.

Descargar el registro de actividad

Seleccione Descargar como archivo .csv para descargar los eventos en la vista actual.

Download Activity log

Visualización del historial de cambios

En el caso de algunos eventos, puede ver el historial de cambios, en el que se muestran los cambios que se han producido durante la hora del evento. Seleccione un evento del registro de actividad del que desee obtener información más detallada. Seleccione la pestaña Historial de cambios (versión preliminar) para ver los cambios asociados a ese evento.

Change history list for an event

Si hay cambios asociados con el evento, verá una lista de cambios que puede seleccionar. Se abrirá la página Historial de cambios (versión preliminar) . En esta página verá los cambios realizados en el recurso. El siguiente ejemplo, puede ver no solo que la máquina virtual cambió de tamaño, sino también cuál era el tamaño de la máquina virtual antes de ese cambio y a qué cambió. Para obtener más información sobre el historial de cambios, vea Obtención de los cambios del recurso.

Change history page showing differences

Otros métodos para recuperar eventos del registro de actividad

También puede acceder a los eventos del registro de actividad mediante los métodos siguientes:

Envío al área de trabajo de Log Analytics

Envíe el registro de actividad a un área de trabajo de Log Analytics para habilitar las características de los registros de Azure Monitor, entre lo que se incluye lo siguiente:

  • Correlacionar los datos del registro de actividad con otros datos de supervisión recopilados por Azure Monitor.
  • Consolidar las entradas de registro de varias suscripciones e inquilinos de Azure en una ubicación para su análisis conjunto.
  • Usar las consultas de registro para realizar un análisis complejo y obtener información detallada sobre las entradas del registro de actividad.
  • Usar las alertas de registro con entradas de actividad, lo que permite una lógica de alertas más compleja.
  • Almacenar las entradas del registro de actividad más allá del período de retención del registro de actividad.
  • No se generan cargos por ingesta para los datos del registro de actividad almacenados en un área de trabajo de Log Analytics.
  • No se generan cargos por retención de datos los primeros 90 días para los datos del registro de actividad almacenados en un área de trabajo de Log Analytics.

Seleccione Export Activity Logs (Exportar registros de actividad).

Export activity logs

para enviar el registro de actividad a un área de trabajo de Log Analytics. Puede enviar el registro de actividad desde cualquier suscripción única hasta un máximo de cinco áreas de trabajo.

Los datos del registro de actividad de un área de trabajo de Log Analytics se almacenan en una tabla denominada AzureActivity que se puede recuperar con una consulta de registro en Log Analytics. La estructura de esta tabla varía en función de la categoría de la entrada de registro. Para obtener una descripción de las propiedades de la tabla, vea la referencia de datos de Azure Monitor.

Por ejemplo, para ver un recuento de las entradas del registro de actividad para cada categoría, use la consulta siguiente:

AzureActivity
| summarize count() by CategoryValue

Para recuperar todos los registros de la categoría administrativa, use la consulta siguiente:

AzureActivity
| where CategoryValue == "Administrative"

Envío a Azure Event Hubs

Envíe el registro de actividad a Azure Event Hubs para enviar entradas fuera de Azure, por ejemplo, a un SIEM de terceros o a otras soluciones de Log Analytics. Los eventos del registro de actividad de Event Hubs se consumen en formato JSON con un elemento records que contiene los registros de cada carga. El esquema depende de la categoría y se describe en Esquema de la cuenta de almacenamiento y Event Hubs.

A continuación se muestran datos de salida de ejemplo de Event Hubs para un registro de actividad:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Envío a Azure Storage

Envíe el registro de actividad a una cuenta de Azure Storage si quiere conservar los datos de registro durante más de 90 días para la auditoría, el análisis estático o la copia de seguridad. Si solo debe conservar los eventos durante 90 días o menos, no es necesario configurar el archivado en una cuenta de almacenamiento, ya que los eventos del registro de actividades se conservan en la plataforma de Azure durante 90 días.

Cuando envíe el registro de actividad a Azure, se creará un contenedor de almacenamiento en la cuenta de almacenamiento en cuanto se produzca un evento. Los blobs del contenedor usan la siguiente convención de nomenclatura:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

Por ejemplo, un blob podría tener un nombre similar al siguiente:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

Cada blob PT1H.json contiene un blob JSON de eventos que se produjeron en la hora especificada en la dirección URL del blob (por ejemplo h=12). Durante la hora en cuestión, los eventos se anexan al archivo PT1H.json a medida que se producen. El valor en minutos (m = 00) siempre es 00, ya que los eventos del registro de recurso se dividen en blobs individuales por hora.

Cada evento se almacena en el archivo PT1H.json con el siguiente formato que usa un esquema de nivel superior común, pero es único para cada categoría, tal como se describe en Esquema del registro de actividad.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

Métodos de recopilación heredados

En esta sección se describen los métodos heredados para recopilar el registro de actividad que se usó antes de la configuración de diagnóstico. Si usa estos métodos, debería considerar la posibilidad de realizar la transición a la configuración de diagnóstico, que proporciona una mejor función y coherencia con los registros de recursos.

Perfiles de registro

Los perfiles de registro son el método heredado para enviar el registro de actividad a Azure Storage o Event Hubs. Use el siguiente procedimiento para seguir trabajando con un perfil de registro o deshabilitarlo como preparación para la migración a una configuración de diagnóstico.

  1. En el menú Azure Monitor de Azure Portal, seleccione Registro de actividad.

  2. Seleccione Export Activity Logs (Exportar registros de actividad).

    Export activity logs

  3. Seleccione el banner de color púrpura de la experiencia heredada.

    Legacy experience

Configuración del perfil de registro mediante PowerShell

Si ya existe un perfil de registro, primero debe quitarlo y luego crear uno nuevo.

  1. Use Get-AzLogProfile para identificar si existe un perfil de registro. Si existe un perfil de registro, busque la propiedad name.

  2. Use Remove-AzLogProfile para quitar el perfil de registro mediante el valor de la propiedad name.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Use Add-AzLogProfile para crear un nuevo perfil de registro:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    Propiedad Obligatorio Descripción
    Nombre Nombre de su perfil de registro.
    StorageAccountId No Identificador de recurso de la cuenta de almacenamiento donde se debe guardar el registro de actividad.
    serviceBusRuleId No Id. de regla de Service Bus para el espacio de nombres de Service Bus donde quiere que se cree Event Hubs. Se trata de una cadena con este formato: {service bus resource ID}/authorizationrules/{key name}.
    Location Lista separada por comas de las regiones para las que desea recopilar eventos del registro de actividad.
    RetentionInDays Número de días que deben retenerse los eventos en la cuenta de almacenamiento, entre 1 y 365. Con el valor cero, se almacenan los registros indefinidamente.
    Category No Lista separada por comas de las categorías de eventos que deben recopilarse. Los valores posibles son Write, Delete y Action.

Script de ejemplo

A continuación se muestra un script de ejemplo de PowerShell para crear un perfil de registro que escribe el registro de actividad en una cuenta de almacenamiento y en un centro de eventos.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Configuración del perfil de registro mediante la CLI de Azure

Si ya existe un perfil de registro, primero debe quitarlo y luego crear un perfil de registro.

  1. Use az monitor log-profiles list para identificar si existe un perfil de registro.

  2. Use az monitor log-profiles delete --name "<log profile name> para quitar el perfil de registro mediante el valor de la propiedad name.

  3. Use az monitor log-profiles create para crear un perfil de registro:

    az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
    
    Propiedad Obligatorio Descripción
    name Nombre de su perfil de registro.
    storage-account-id Identificador de recurso de la cuenta de almacenamiento donde se deben guardar los registros de actividades.
    locations Lista separada por espacios de las regiones para las que desea recopilar eventos del registro de actividad. Puede ver una lista de todas las regiones para la suscripción con az account list-locations --query [].name.
    days Número de días que deben retenerse los eventos, entre 1 y 365. Con el valor cero, se almacenarán los registros indefinidamente (de manera indefinida). Si el valor es cero, el parámetro enabled se debe establecer en false.
    enabled True o False. Se usa para habilitar o deshabilitar la directiva de retención. Si el valor es True, el parámetro de días debe ser un valor mayor que 0.
    categories Lista separada por espacios de las categorías de eventos que deben recopilarse. Los valores posibles son Write, Delete y Action.

Área de trabajo de Log Analytics

El método heredado para enviar el registro de actividad en un área de trabajo de Log Analytics es conectar el inicio de sesión en la configuración del área de trabajo.

  1. Desde el menú Áreas de trabajo de Log Analytics en Azure Portal, seleccione el área de trabajo para recopilar el registro de actividad.

  2. En la sección Orígenes de datos del área de trabajo del menú del área de trabajo, seleccione Registro de actividad de Azure.

  3. Seleccione la suscripción que desea conectar.

    Screenshot shows Log Analytics workspace with an Azure Activity log selected.

  4. Seleccione Conectar para conectar el inicio de sesión de actividad en la suscripción al área de trabajo seleccionada. Si la suscripción ya está conectada a otra área de trabajo, seleccione Desconectar primero para desconectarla.

    Connect Workspaces

Para deshabilitar la configuración, realice el mismo procedimiento y seleccione Desconectar para quitar la suscripción del área de trabajo.

Cambios en la estructura de datos

La experiencia de exportar registros de actividad envía los mismos datos que el método heredado utilizado para enviar el registro de actividad con algunos cambios en la estructura de la tabla AzureActivity.

Las columnas de la tabla siguiente están en desuso en el esquema actualizado. Todavía existen en AzureActivity, pero no tienen datos. Los reemplazos de estas columnas no son nuevos, pero contienen los mismos datos que la columna en desuso. Tienen un formato distinto, por lo que es posible que tenga que modificar las consultas de registro que las utilizan.

JSON de registro de actividad Nombre de columna de Log Analytics
(antiguo en desuso)
Nuevo nombre de columna de Log Analytics Notas
category Category CategoryValue
status

los valores son (correcto, inicio, aceptación, error)
ActivityStatus

valores iguales que JSON
ActivityStatusValue

los valores cambian a (correcto, iniciado, aceptado, con error)
Los valores válidos cambian como se muestra
subStatus ActivitySubstatus ActivitySubstatusValue
operationName OperationName OperationNameValue La API REST localiza el valor del nombre de la operación. La interfaz de usuario de Log Analytics siempre se muestra en inglés.
resourceProviderName ResourceProvider ResourceProviderValue

Importante

En algunos casos, los valores de estas columnas pueden estar en mayúsculas. Si tiene una consulta que incluye estas columnas, debe usar el operador =~ para realizar una comparación sin distinguir entre mayúsculas y minúsculas.

Las columnas siguientes se han agregado a AzureActivity en el esquema actualizado:

  • Authorization_d
  • Claims_d
  • Properties_d

Información del registro de actividad

La información de los registros de actividad le permite ver información sobre los cambios en los recursos y grupos de recursos de una suscripción. Los paneles también presentan datos sobre qué usuarios o servicios realizaron actividades en la suscripción y el estado de las actividades. En este artículo se explica cómo ver la información de los registros de actividad en Azure Portal.

Antes de usar la información del registro de actividad, tendrá que habilitar el envío de registros al área de trabajo de Log Analytics.

¿Cómo funciona la información de los registros de actividad?

Los registros de actividad que envía a un área de trabajo de Log Analytics se almacenan en una tabla denominada AzureActivity.

La información de los registros de actividad es un libro de Log Analytics mantenido, con paneles que visualizan los datos en la tabla AzureActivity. Por ejemplo, qué administradores eliminaron, actualizaron o crearon recursos, y si las actividades se llevaron a cabo correctamente o no.

A screenshot showing Azure Activity logs insights dashboards.

Visualización de la información de los registros de actividad: a nivel de grupo de recursos o suscripción

Para ver información de los registros de actividad a nivel de grupo de recursos o suscripción:

  1. En Azure Portal, seleccione Supervisar>Libros.

  2. Seleccione Información de los registros de actividad en la sección Información.

    A screenshot showing how to locate and open the Activity logs insights workbook on a scale level.

  3. En la parte superior de la página Información de los registros de actividad, seleccione:

    1. Una o varias suscripciones de la lista desplegable Suscripciones.
    2. Recursos y grupos de recursos de la lista desplegable CurrentResource.
    3. Intervalo de tiempo para el que se van a ver los datos de la lista desplegable TimeRange.

Visualización de la información de los registros de actividad en cualquier recurso de Azure

Nota

  • Actualmente, las Ideas recursos no se admiten para este libro.

Para ver la información de los registros de actividad a nivel de recurso:

  1. En Azure Portal, vaya al recurso y seleccione Libros.

  2. Seleccione Información de los registros de actividad en la sección Información de los registro de actividad.

    A screenshot showing how to locate and open the Activity logs insights workbook on a resource level.

  3. En la parte superior de la página Información de los registros de actividad, seleccione:

    1. Intervalo de tiempo para el que se van a ver los datos de la lista desplegable TimeRange.
    • Entradas de registros de actividad de Azure muestra el recuento de registros de actividad en cada categoría del registro de actividad.

      Screenshot of Azure Activity Logs by Category Value

    • Registros de actividad por estado muestra el recuento de registros de actividad en cada estado.

      Screenshot of Azure Activity Logs by Status

    • En el nivel de suscripción y grupo de recursos, los registros de actividad por recurso y los registros de actividad por proveedor de recursos muestran el recuento de registros de actividad para cada recurso y proveedor de recursos.

      Screenshot of Azure Activity Logs by Resource

Pasos siguientes