Seguridad de datos de Log AnalyticsLog Analytics data security

Este documento está diseñado para proporcionar información específica sobre Log Analytics, que es una característica de Azure Monitor, para complementar la información que se halla en el Centro de confianza de Azure.This document is intended to provide information specific to Log Analytics, which is a feature of Azure Monitor, to supplement the information on Azure Trust Center.

En este artículo, se explica cómo Log Analytics recopila, procesa y protege los datos.This article explains how data is collected, processed, and secured by Log Analytics. Puede usar a agentes para conectarse al servicio web, utilizar System Center Operations Manager con el fin de recopilar datos operativos o recuperar datos de Diagnósticos de Azure para que Log Analytics los utilice.You can use agents to connect to the web service, use System Center Operations Manager to collect operational data, or retrieve data from Azure diagnostics for use by Log Analytics.

El servicio Log Analytics administra sus datos basados en la nube de forma segura mediante los siguientes métodos:The Log Analytics service manages your cloud-based data securely by using the following methods:

  • Segregación de datosData segregation
  • Retención de datosData retention
  • Seguridad físicaPhysical security
  • Administración de incidentesIncident management
  • Cumplimiento normativoCompliance
  • Certificaciones de estándares de seguridadSecurity standards certifications

Póngase en contacto con nosotros si tiene preguntas, sugerencias o problemas acerca de la siguiente información, incluidas nuestras directivas de seguridad en Opciones de soporte técnico de Azure.Contact us with any questions, suggestions, or issues about any of the following information, including our security policies at Azure support options.

Envío de datos de forma segura con TLS 1.2Sending data securely using TLS 1.2

Para garantizar la seguridad de los datos en tránsito a Log Analytics, se recomienda encarecidamente configurar el agente para que use al menos Seguridad de la capa de transporte (TLS) 1.2.To insure the security of data in transit to Log Analytics, we strongly encourage you to configure the agent to use at least Transport Layer Security (TLS) 1.2. Las versiones anteriores de TLS/Capa de sockets seguros (SSL) han demostrado ser vulnerables y, si bien todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan, y el sector está cambiando rápidamente para abandonar la compatibilidad de estos protocolos más antiguos.Older versions of TLS/Secure Sockets Layer (SSL) have been found to be vulnerable and while they still currently work to allow backwards compatibility, they are not recommended, and the industry is quickly moving to abandon support for these older protocols.

PCI Security Standards Council ha establecido una fecha límite de 30 de junio de 2018 para deshabilitar las versiones anteriores de TLS/SSL y actualizar a protocolos más seguros.The PCI Security Standards Council has set a deadline of June 30th, 2018 to disable older versions of TLS/SSL and upgrade to more secure protocols. Una vez que Azure quite la compatibilidad heredada, si los agentes no pueden comunicarse a través de TLS 1.2 como mínimo, podría no ser capaz de enviar datos a Log Analytics.Once Azure drops legacy support, if your agents cannot communicate over at least TLS 1.2 you would not be able to send data to Log Analytics.

No se recomienda establecer explícitamente el agente para que solo use TLS 1.2, a menos que sea absolutamente necesario, ya que esto puede interrumpir las características de seguridad a nivel de la plataforma que le permiten detectar y aprovechar automáticamente las ventajas de los protocolos más seguros más recientes a medida que estén disponibles, como TLS 1.3.We do not recommend explicitly setting your agent to only use TLS 1.2 unless absolutely necessary, as it can break platform level security features that allow you to automatically detect and take advantage of newer more secure protocols as they become available, such as TLS 1.3.

Guía específica para la plataformaPlatform-specific guidance

Plataforma/lenguajePlatform/Language Soporte técnicoSupport Más informaciónMore Information
LinuxLinux Las distribuciones de Linux tienden a basarse en OpenSSL para la compatibilidad con TLS 1.2.Linux distributions tend to rely on OpenSSL for TLS 1.2 support. Compruebe el registro de cambios de OpenSSL para confirmar si su versión de OpenSSL es compatible.Check the OpenSSL Changelog to confirm your version of OpenSSL is supported.
Windows 8.0 a 10Windows 8.0 - 10 Compatible y habilitado de manera predeterminada.Supported, and enabled by default. Para confirmar que aún usa la configuración predeterminada.To confirm that you are still using the default settings.
Windows Server 2012 a 2016Windows Server 2012 - 2016 Compatible y habilitado de manera predeterminada.Supported, and enabled by default. Para confirmar que aún usa la configuración predeterminadaTo confirm that you are still using the default settings
Windows 7 SP1 y Windows Server 2008 R2 SP1Windows 7 SP1 and Windows Server 2008 R2 SP1 Compatible, pero no habilitado de manera predeterminada.Supported, but not enabled by default. Consulte la página Configuración del registro de TLS para obtener más información sobre cómo se habilita.See the Transport Layer Security (TLS) registry settings page for details on how to enable.

Segregación de datosData segregation

Una vez que el servicio Log Analytics ha ingerido los datos, estos se mantienen de forma independiente en cada componente del servicio.After your data is ingested by the Log Analytics service, the data is kept logically separate on each component throughout the service. Todos los datos se etiquetan por área de trabajo.All data is tagged per workspace. Este etiquetado persiste a lo largo del ciclo de vida de los datos y se aplica en cada nivel del servicio.This tagging persists throughout the data lifecycle, and it is enforced at each layer of the service. Los datos se almacenan en una base de datos dedicada en el clúster de almacenamiento de la región que ha seleccionado.Your data is stored in a dedicated database in the storage cluster in the region you have selected.

Retención de datosData retention

Los datos indexados de búsqueda de registros se almacenan y se conservan conforme al plan de precios.Indexed log search data is stored and retained according to your pricing plan. Para obtener más información, consulte Precios de Log Analytics.For more information, see Log Analytics Pricing.

Como parte del acuerdo de suscripción, Microsoft conservará sus datos conforme a los términos del contrato.As part of your subscription agreement, Microsoft will retain your data per the terms of the agreement. Cuando se eliminan los datos de cliente, no se destruyen unidades físicas.When customer data is removed, no physical drives are destroyed.

En la tabla siguiente se muestran algunas de las soluciones disponibles y se proporcionan ejemplos de los tipos de datos que recopilan.The following table lists some of the available solutions and provides examples of the type of data they collect.

SoluciónSolution Tipos de datosData types
Capacidad y rendimientoCapacity and Performance Datos de rendimiento y metadatosPerformance data and metadata
Administración de actualizacionesUpdate Management Metadatos y datos de estadoMetadata and state data
Administración de registrosLog Management Registros IIS, de eventos de Windows o de eventos definidos por el usuarioUser-defined event logs, Windows Event Logs and/or IIS Logs
Seguimiento de cambiosChange Tracking Inventario de software, servicio de Windows y metadatos de demonio de Linux, y metadatos de archivo de Windows o LinuxSoftware inventory, Windows service and Linux daemon metadata, and Windows/Linux file metadata
Evaluación de SQL y Active DirectorySQL and Active Directory Assessment Datos de WMI, datos de registro, datos de rendimiento y resultados de la vista de administración dinámica de SQL ServerWMI data, registry data, performance data, and SQL Server dynamic management view results

La tabla siguiente muestra ejemplos de los tipos de datos:The following table shows examples of data types:

Tipo de datosData type FieldsFields
AlertaAlert Alert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCountAlert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
ConfiguraciónConfiguration CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDateCustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
EventoEvent EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAddedEventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Nota: Cuando se escriben eventos con campos personalizados en el registro de eventos de Windows, Log Analytics los recopila.Note: When you write events with custom fields in to the Windows event log, Log Analytics collects them.
MetadatosMetadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTimeBaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
RendimientoPerformance ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAddedObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
StateState StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModifiedStateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Seguridad físicaPhysical security

El servicio Log Analytics está a cargo de personal de Microsoft y todas las actividades se registran y se pueden auditar.The Log Analytics service is managed by Microsoft personnel and all activities are logged and can be audited. Log Analytics funciona como un servicio de Azure y cumple con todos los requisitos de cumplimiento y seguridad de Azure.Log Analytics is operated as an Azure Service and meets all Azure Compliance and Security requirements. Puede ver detalles acerca de la seguridad física de los recursos de Azure en la página 18 de la Información general de la seguridad de Microsoft Azure.You can view details about the physical security of Azure assets on page 18 of the Microsoft Azure Security Overview. Los derechos de acceso físico para proteger áreas de las personas que ya no tienen ninguna responsabilidad en el servicio de Log Analytics se cambian en un plazo de un día hábil, incluidas la transferencia y la finalización.Physical access rights to secure areas are changed within one business day for anyone who no longer has responsibility for the Log Analytics service, including transfer and termination. Puede consultar información sobre la infraestructura física global que se utiliza en los centros de datos de Microsoft.You can read about the global physical infrastructure we use at Microsoft Datacenters.

Administración de incidentesIncident management

Log Analytics incluye un proceso de administración de incidentes que cumplen todos los servicios de Microsoft.Log Analytics has an incident management process that all Microsoft services adhere to. Resumiendo:To summarize, we:

  • Usamos un modelo de responsabilidad compartida donde una parte de la responsabilidad de seguridad reside en Microsoft y otra parte pertenece al cliente.Use a shared responsibility model where a portion of security responsibility belongs to Microsoft and a portion belongs to the customer
  • Administramos los incidentes de seguridad de Azure:Manage Azure security incidents:
    • Iniciamos una investigación tras la detección de un incidente.Start an investigation upon detection of an incident
    • Un miembro de guardia del equipo de respuesta a incidentes evalúa el impacto y la gravedad de un incidente.Assess the impact and severity of an incident by an on-call incident response team member. En función de las pruebas, la evaluación puede dar lugar a que el incidente se remita al equipo de respuesta de seguridad.Based on evidence, the assessment may or may not result in further escalation to the security response team.
    • Diagnostique un incidente gracias a los expertos de respuesta de seguridad para realizar la investigación forense o técnica, e identificar las estrategias de contención, mitigación y solución.Diagnose an incident by security response experts to conduct the technical or forensic investigation, identify containment, mitigation, and workaround strategies. Si el equipo de seguridad considera que los datos de cliente pueden quedar expuestos a una persona no autorizada, la ejecución en paralelo del proceso de notificación de incidentes de cliente.If the security team believes that customer data may have become exposed to an unlawful or unauthorized individual, parallel execution of the Customer Incident Notification process begins in parallel.
    • Estabilice y recupere la infraestructura después del incidente.Stabilize and recover from the incident. El equipo de respuesta a incidentes crea un plan de recuperación para mitigar el problema.The incident response team creates a recovery plan to mitigate the issue. Pueden llevarse a cabo procesos de gestión de crisis, como poner en cuarentena sistemas afectados, de inmediato y en paralelo al diagnóstico.Crisis containment steps such as quarantining impacted systems may occur immediately and in parallel with diagnosis. Pueden planearse más mitigaciones a largo plazo para realizarse después de que ha pasado el riesgo inmediato.Longer term mitigations may be planned which occur after the immediate risk has passed.
    • Cierre el incidente y realice un análisis final.Close the incident and conduct a post-mortem. El equipo de respuesta a incidentes lleva a cabo un análisis final donde se describen los detalles del incidente con el objetivo de revisar las directivas, los procedimientos y los procesos para evitar que se vuelva a producir el evento.The incident response team creates a post-mortem that outlines the details of the incident, with the intention to revise policies, procedures, and processes to prevent a recurrence of the event.
  • Notificamos a los clientes los incidentes de seguridad:Notify customers of security incidents:
    • Determine el alcance de los incidentes y notifique de la forma más detallada posible a todos las personas afectadas.Determine the scope of impacted customers and to provide anybody who is impacted as detailed a notice as possible
    • Cree un aviso para los clientes con la información detallada suficiente para que puedan realizar una investigación y cumplir los compromisos con sus usuarios finales sin retrasar indebidamente el proceso de notificación.Create a notice to provide customers with detailed enough information so that they can perform an investigation on their end and meet any commitments they have made to their end users while not unduly delaying the notification process.
    • Confirme y declare el incidente según sea necesario.Confirm and declare the incident, as necessary.
    • Envíe a los clientes una notificación de incidentes puntual y de acuerdo con cualquier compromiso contractual o jurídico.Notify customers with an incident notification without unreasonable delay and in accordance with any legal or contractual commitment. La notificación de incidentes de seguridad se entrega a uno o varios de los administradores de un cliente por los medios que Microsoft elija, entre ellos el correo electrónico.Notifications of security incidents are delivered to one or more of a customer's administrators by any means Microsoft selects, including via email.
  • Formamos y preparamos al equipo:Conduct team readiness and training:
    • El personal de Microsoft tiene que finalizar el curso sobre seguridad y concienciación, para que puedan identificar y notificar los posibles problemas de seguridad.Microsoft personnel are required to complete security and awareness training, which helps them to identify and report suspected security issues.
    • Los operadores que trabajan en el servicio de Microsoft Azure tienen más obligaciones de aprendizaje relacionadas con el acceso a los sistemas confidenciales que hospedan los datos de cliente.Operators working on the Microsoft Azure service have addition training obligations surrounding their access to sensitive systems hosting customer data.
    • El personal de respuesta de seguridad de Microsoft recibe cursos especializados para los roles que desempeñan.Microsoft security response personnel receive specialized training for their roles

En caso de pérdida de datos de cualquier cliente, se notificará a cada cliente en el plazo de un día.If loss of any customer data occurs, we notify each customer within one day. Sin embargo, con este servicio nunca se han perdido datos de cliente.However, customer data loss has never occurred with the service.

Para obtener más información sobre cómo Microsoft responde a los incidentes de seguridad, consulte Microsoft Azure Security Response in the Cloud (Respuesta de seguridad de Microsoft Azure en la nube).For more information about how Microsoft responds to security incidents, see Microsoft Azure Security Response in the Cloud.

Cumplimiento normativoCompliance

El programa de gobernanza y seguridad de la información del equipo de servicio y desarrollo del software de Log Analytics respalda sus requisitos empresariales y cumple las leyes y los reglamentos, tal y como se describe en el Centro de confianza de Microsoft Azure y en Microsoft Trust Center Compliance.The Log Analytics software development and service team's information security and governance program supports its business requirements and adheres to laws and regulations as described at Microsoft Azure Trust Center and Microsoft Trust Center Compliance. En estas páginas también se describe cómo Log Analytics establece los requisitos de seguridad, identifica los controles de seguridad, y administra y supervisa los riesgos.How Log Analytics establishes security requirements, identifies security controls, manages, and monitors risks are also described there. Cada año, revisamos las directivas, los estándares, los procedimientos y las instrucciones.Annually, we review polices, standards, procedures, and guidelines.

Cada miembro del equipo de desarrollo recibe cursos formales sobre seguridad de aplicaciones.Each development team member receives formal application security training. Internamente, utilizamos un sistema de control de versiones para el desarrollo de software.Internally, we use a version control system for software development. Cada proyecto de software se protege mediante el sistema de control de versiones.Each software project is protected by the version control system.

Microsoft cuenta con un equipo de seguridad y cumplimiento normativo que supervisa y evalúa todos los servicios de Microsoft.Microsoft has a security and compliance team that oversees and assesses all services in Microsoft. Los responsables de seguridad de la información conforman el equipo y no están vinculados con los equipos de ingeniería que desarrollan Log Analytics.Information security officers make up the team and they are not associated with the engineering teams that develops Log Analytics. Los responsables de seguridad tienen su propia cadena de administración y llevan a cabo evaluaciones independientes de los productos y servicios para garantizar la seguridad y el cumplimiento normativo.The security officers have their own management chain and conduct independent assessments of products and services to ensure security and compliance.

Al comité de dirección de Microsoft se le notifica mediante informes anuales sobre todos los programas de información de seguridad de Microsoft.Microsoft's board of directors is notified by an annual report about all information security programs at Microsoft.

Los equipos de servicio y desarrollo de software de Log Analytics trabajan de manera activa con los equipos de cumplimiento y asuntos jurídicos de Microsoft, así como con otros asociados del sector, para adquirir diversas certificaciones.The Log Analytics software development and service team are actively working with the Microsoft Legal and Compliance teams and other industry partners to acquire various certifications.

Certificaciones y atestacionesCertifications and attestations

Azure Log Analytics cumple los requisitos siguientes:Azure Log Analytics meets the following requirements:

Nota

En algunas certificaciones o atestaciones, Log Analytics aparece con su nombre anterior, Operational Insights.In some certifications/attestations, Log Analytics is listed under its former name of Operational Insights.

Flujo de datos de seguridad de informática en la nubeCloud computing security data flow

En el diagrama siguiente se muestra una arquitectura de seguridad en la nube como el flujo de información proveniente de la empresa y cómo se protege a medida que se mueve al servicio Log Analytics y al que, en última instancia, ve usted en Azure Portal.The following diagram shows a cloud security architecture as the flow of information from your company and how it is secured as is moves to the Log Analytics service, ultimately seen by you in the Azure portal. Después del diagrama aparece más información acerca de cada paso.More information about each step follows the diagram.

Imagen de recopilación de datos de Log Analytics y seguridad

1. Suscripción a Log Analytics y recopilación de datos1. Sign up for Log Analytics and collect data

Para que su organización envíe datos a Log Analytics, puede configurar un agente de Windows o Linux que se ejecute en máquinas virtuales de Azure, o en equipos físicos o virtuales de su entorno o de otro proveedor en la nube.For your organization to send data to Log Analytics, you configure a Windows or Linux agent running on Azure virtual machines, or on virtual or physical computers in your environment or other cloud provider. Si usa Operations Manager, desde el grupo de administración puede configurar el agente de Operations Manager.If you use Operations Manager, from the management group you configure the Operations Manager agent. Los usuarios (que pueden ser usted, otros usuarios individuales o un grupo de personas) deben crear una o más áreas de trabajo de Log Analytics y registrar los agentes mediante una de las siguientes cuentas:Users (which might be you, other individual users, or a group of people) create one or more Log Analytics workspaces, and register agents by using one of the following accounts:

Un área de trabajo de Log Analytics es donde se recopilan, agregan, analizan y presentan los datos.A Log Analytics workspace is where data is collected, aggregated, analyzed, and presented. Se usa principalmente como un medio para realizar la partición de datos y cada uno de ellos es único.A workspace is primarily used as a means to partition data, and each workspace is unique. Por ejemplo, recomendamos que los datos de producción se administren con un área de trabajo de Log Analytics, y los datos de prueba, con otro diferente.For example, you might want to have your production data managed with one workspace and your test data managed with another workspace. Los espacios de trabajo también ayudan a un administrador a controlar el acceso de los usuarios a los datos.Workspaces also help an administrator control user access to the data. Cada área de trabajo puede tener, a su vez, varias cuentas de usuario asociadas y viceversa: cada cuenta de usuario puede tener varias áreas de trabajo de Log Analytics.Each workspace can have multiple user accounts associated with it, and each user account can access multiple Log Analytics workspaces. Las áreas de trabajo se crean en función de la región del centro de datos.You create workspaces based on datacenter region.

En lo que respecta a Operations Manager, el grupo de administración de este establece una conexión con el servicio Log Analytics.For Operations Manager, the Operations Manager management group establishes a connection with the Log Analytics service. Después, puede configurar qué sistemas administrados por un agente del grupo de administración pueden recopilar y enviar datos al servicio.You then configure which agent-managed systems in the management group are allowed to collect and send data to the service. Dependiendo de la solución habilitada, los datos de estas soluciones se envían directamente desde un servidor de administración de Operations Manager al servicio Log Analytics o bien, debido al volumen de los datos recopilados en el sistema administrado por agentes, se envían directamente desde el agente al servicio.Depending on the solution you have enabled, data from these solutions are either sent directly from an Operations Manager management server to the Log Analytics service, or because of the volume of data collected by the agent-managed system, are sent directly from the agent to the service. En el caso de los sistemas que no supervisa Operations Manager, cada uno se conecta directamente y de forma segura al servicio Log Analytics.For systems not monitored by Operations Manager, each connects securely to the Log Analytics service directly.

Toda la comunicación se cifra entre sistemas conectados y el servicio Log Analytics.All communication between connected systems and the Log Analytics service is encrypted. El protocolo TLS (HTTPS) se utiliza para el cifrado.The TLS (HTTPS) protocol is used for encryption. Se sigue el proceso del SDL de Microsoft para garantizar que el servicio Log Analytics está actualizado con los últimos avances en protocolos criptográficos.The Microsoft SDL process is followed to ensure Log Analytics is up-to-date with the most recent advances in cryptographic protocols.

Cada tipo de agente recopila datos para Log Analytics.Each type of agent collects data for Log Analytics. El tipo de datos recopilados depende de los tipos de soluciones usadas.The type of data that is collected is depends on the types of solutions used. Puede ver un resumen del proceso de recolección de datos en el artículo Incorporación de soluciones de Log Analytics desde la galería de soluciones.You can see a summary of data collection at Add Log Analytics solutions from the Solutions Gallery. Además, hay información más detallada disponible sobre este tema para la mayoría de las soluciones.Additionally, more detailed collection information is available for most solutions. Una solución es una agrupación de vistas predefinidas, consultas de búsqueda de registros, reglas de recopilación de datos y lógica de procesamiento.A solution is a bundle of predefined views, log search queries, data collection rules, and processing logic. Solo los administradores pueden usar Log Analytics para importar una solución.Only administrators can use Log Analytics to import a solution. Una vez importada, la solución se transfiere a los servidores de administración de Operations Manager (en caso de utilizarse) y, después, a los agentes que haya elegido.After the solution is imported, it is moved to the Operations Manager management servers (if used), and then to any agents that you have chosen. Posteriormente, los agentes recopilan los datos.Afterward, the agents collect the data.

2. Envío de datos desde agentes2. Send data from agents

El registro de todos los tipos de agentes se efectúa con una clave de inscripción y se establece una conexión segura entre el agente en cuestión y el servicio Log Analytics mediante la autenticación basada en certificados y SSL con el puerto 443.You register all agent types with an enrollment key and a secure connection is established between the agent and the Log Analytics service using certificate-based authentication and SSL with port 443. Log Analytics utiliza un almacén secreto para generar y mantener las claves.Log Analytics uses a secret store to generate and maintain keys. Las claves privadas se alternan cada 90 días, y se almacenan en Azure y administran a través de las operaciones de Azure que siguen las estrictas prácticas regulatorias y de cumplimiento normativo.Private keys are rotated every 90 days and are stored in Azure and are managed by the Azure operations who follow strict regulatory and compliance practices.

Con Operations Manager, el grupo de administración registrado con un área de trabajo de Log Analytics establece una conexión HTTPS segura con un servidor de administración de Operations Manager.With Operations Manager, the management group registered with a Log Analytics workspace establishes a secure HTTPS connection with an Operations Manager management server.

En lo que respecta a los agentes de Windows o de Linux que se ejecutan en máquinas virtuales de Azure, se utiliza una clave de almacenamiento de solo lectura para leer los eventos de diagnóstico en las tablas de Azure.For Windows or Linux agents running on Azure virtual machines, a read-only storage key is used to read diagnostic events in Azure tables.

En el caso de agentes que envían notificaciones a un grupo de administración de Operations Manager que está integrado con Log Analytics, si el servidor de administración no se puede comunicar con el servicio por cualquier motivo, los datos recopilados se almacenan localmente en una memoria caché temporal del servidor de administración.With any agent reporting to an Operations Manager management group that is integrated with Log Analytics, if the management server is unable to communicate with the service for any reason, the collected data is stored locally in a temporary cache on the management server. Intentarán volver a enviar los datos cada ocho minutos durante dos horas.They try to resend the data every eight minutes for two hours. Para los datos que eluden el servidor de administración y se envían directamente a Log Analytics, el comportamiento es coherente con el agente de Windows.For data that bypasses the management server and is sent directly to Log Analytics, the behavior is consistent with the Windows agent.

Los datos almacenados en la memoria caché del agente del servidor de administración o de Windows se protegen mediante el almacén de credenciales del sistema operativo.The Windows or management server agent cached data is protected by the operating system's credential store. Si el servicio no puede procesar los datos después de dos horas, los agentes pondrán en cola los datos.If the service cannot process the data after two hours, the agents will queue the data. Si la cola se llena, el agente empieza a quitar tipos de datos, empezando por los datos de rendimiento.If the queue becomes full, the agent starts dropping data types, starting with performance data. El límite de cola de los agentes es una clave de registro que puede modificar si es necesario.The agent queue limit is a registry key so you can modify it, if necessary. Los datos recopilados se comprimen y se envían al servicio, omitiendo las bases de datos del grupo de administración de Operations Manager, por lo que no se les agrega ninguna carga.Collected data is compressed and sent to the service, bypassing the Operations Manager management group databases, so it does not add any load to them. Después de enviar los datos recopilados, se quitan de la memoria caché.After the collected data is sent, it is removed from the cache.

Como se describió anteriormente, los datos del servidor de administración o de los agentes conectados directamente se envían por SSL a los centros de datos de Microsoft Azure.As described above, data from the management server or direct-connected agents is sent over SSL to Microsoft Azure datacenters. También puede usar ExpressRoute para proporcionar más seguridad a los datos.Optionally, you can use ExpressRoute to provide additional security for the data. Con ExpressRoute puede conectarse directamente a Azure desde una red WAN, como una VPN de conmutación por etiquetas multiprotocolo (MPLS) que proporcione un proveedor de servicios de red.ExpressRoute is a way to directly connect to Azure from your existing WAN network, such as a multi-protocol label switching (MPLS) VPN, provided by a network service provider. Para obtener más información, consulte el artículo sobre ExpressRoute.For more information, see ExpressRoute.

3. Recepción y procesamiento de los datos por parte del servicio Log Analytics3. The Log Analytics service receives and processes data

El servicio Log Analytics asegura que los datos entrantes provienen de una fuente de confianza mediante la validación de certificados y la integridad de los datos con la autenticación de Azure.The Log Analytics service ensures that incoming data is from a trusted source by validating certificates and the data integrity with Azure authentication. Los datos sin procesar se almacenarán posteriormente en una instancia de Azure Event Hubs en la región en que finalmente se almacenarán los datos en reposo.The unprocessed raw data is then stored in an Azure Event Hub in the region the data will eventually be stored at rest. El tipo de datos que se almacena depende de los tipos de soluciones que se importaron y se usaron para recopilar datos.The type of data that is stored depends on the types of solutions that were imported and used to collect data. Después, el servicio Log Analytics procesa los datos sin procesar y los ingiere en la base de datos.Then, the Log Analytics service processes the raw data and ingests it into the database.

El período de retención de los datos recopilados que se almacenan en la base de datos depende del plan de precios seleccionado.The retention period of collected data stored in the database depends on the selected pricing plan. Para el nivel Gratis, los datos recopilados están disponibles durante siete días.For the Free tier, collected data is available for seven days. Para el nivel de pago, los datos recopilados están disponibles durante 31 días de forma predeterminada, pero se puede ampliar a 730 días.For the Paid tier, collected data is available for 31 days by default, but can be extended to 730 days. Los datos se almacenan cifrados en reposo en Azure Storage, para garantizar la confidencialidad de los datos, y los datos se replican dentro de la región local con almacenamiento con redundancia local (LRS).Data is stored encrypted at rest in Azure storage, to ensure data confidentiality, and the data is replicated within the local region using locally redundant storage (LRS). Las dos últimas semanas de datos también se almacenan en caché basada en SSD y esta caché está cifrada.The last two weeks of data are also stored in SSD-based cache and this cache is encrypted.

4. Uso de Log Analytics para acceder a los datos4. Use Log Analytics to access the data

Para acceder al área de trabajo de Log Analytics puede iniciar sesión en Azure Portal mediante la cuenta de la organización o la cuenta Microsoft configurada anteriormente.To access your Log Analytics workspace, you sign into the Azure portal using the organizational account or Microsoft account that you set up previously. Todo el tráfico que circula entre el portal y el servicio Log Analytics se envía por un canal seguro HTTPS.All traffic between the portal and Log Analytics service is sent over a secure HTTPS channel. Al usar el portal, se genera un identificador de sesión en el cliente del usuario (explorador web) y los datos se almacenan en una caché local hasta que finalice la sesión.When using the portal, a session ID is generated on the user client (web browser) and data is stored in a local cache until the session is terminated. Cuando termina, se elimina la memoria caché.When terminated, the cache is deleted. Las cookies del cliente, que no contienen información de identificación personal, no se quitan automáticamente.Client-side cookies, which do not contain personally identifiable information, are not automatically removed. Las de sesión se marcan con HTTPOnly y se protegen.Session cookies are marked HTTPOnly and are secured. Después de un periodo de inactividad predeterminado, se termina la sesión de Azure Portal.After a pre-determined idle period, the Azure portal session is terminated.

Pasos siguientesNext steps