Tutorial: Transmisión de registros de Azure Active Directory a un centro de eventos de AzureTutorial: Stream Azure Active Directory logs to an Azure event hub

En este tutorial, aprenderá a configurar diagnósticos de Azure Monitor para transmitir registros de Azure Active Directory (Azure AD) a un centro de eventos de Azure.In this tutorial, you learn how to set up Azure Monitor diagnostics settings to stream Azure Active Directory (Azure AD) logs to an Azure event hub. Use este mecanismo para integrar sus registros con las herramientas de Administración de eventos e información de seguridad (SIEM) de terceros, como Splunk y QRadar.Use this mechanism to integrate your logs with third-party Security Information and Event Management (SIEM) tools, such as Splunk and QRadar.

PrerrequisitosPrerequisites

Para usar esta característica, necesita:To use this feature, you need:

  • Suscripción a Azure.An Azure subscription. Si no tiene ninguna suscripción de Azure, puede registrarse para obtener una evaluación gratuita.If you don't have an Azure subscription, you can sign up for a free trial.
  • Un inquilino de Azure AD.An Azure AD tenant.
  • Un usuario que sea administrador global o administrador de seguridad para el inquilino de Azure AD.A user who's a global administrator or security administrator for the Azure AD tenant.
  • Un espacio de nombres de Event Hubs y un centro de eventos en la suscripción de Azure.An Event Hubs namespace and an event hub in your Azure subscription. Aprenda a crear un centro de eventos.Learn how to create an event hub.

Transmitir registros a un centro de eventosStream logs to an event hub

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione Azure Active Directory > Supervisión > Registros de auditoría.Select Azure Active Directory > Monitoring > Audit logs.

  3. Seleccione Exportar configuración.Select Export Settings.

  4. En el panel Configuración de diagnóstico, realice una de las siguientes acciones:In the Diagnostics settings pane, do either of the following:

    • Para cambiar la configuración existente, seleccione Editar configuración.To change existing settings, select Edit setting.

    • Para agregar la nueva configuración, seleccione Agregar configuración de diagnóstico.To add new settings, select Add diagnostics setting.
      Puede tener un máximo de tres configuraciones.You can have up to three settings.

      Exportar configuración

  5. Seleccione la casilla Stream to an event hub (Hacer streaming a un centro de eventos) y haga clic en Event Hub/Configure (Centro de eventos/Configurar).Select the Stream to an event hub check box, and then select Event Hub/Configure.

  6. Seleccione la suscripción de Azure y el espacio de nombres de Event Hubs al que desea enrutar los registros.Select the Azure subscription and Event Hubs namespace that you want to route the logs to.
    Tanto la suscripción como el espacio de nombres de Event Hubs deben estar asociados al inquilino de Azure AD desde el que se envían los registros por streaming.The subscription and Event Hubs namespace must both be associated with the Azure AD tenant that the logs stream from. También se puede especificar un centro de eventos en el espacio de nombres de Event Hubs al que se deben enviar los registros.You can also specify an event hub within the Event Hubs namespace to which logs should be sent. Si no se especifica ningún centro de eventos, se crea uno en el espacio de nombres con el nombre predeterminado insights-logs-audit.If no event hub is specified, an event hub is created in the namespace with the default name insights-logs-audit.

  7. Seleccione Aceptar para salir de la configuración del centro de eventos.Select OK to exit the event hub configuration.

  8. Realice alguna de las siguientes acciones o ambas:Do either or both of the following:

    • Para enviar los registros de auditoría al centro de eventos, seleccione la casilla AuditLogs.To send audit logs to the event hub, select the AuditLogs check box.
    • Para enviar los registros de inicio de sesión al centro de eventos, seleccione la casilla SignInLogs.To send sign-in logs to the event hub, select the SignInLogs check box.
  9. Seleccione Guardar para guardar la configuración.Select Save to save the setting.

    Configuración de diagnóstico

  10. Quince minutos después, compruebe que los eventos se muestran en el centro de eventos.After about 15 minutes, verify that events are displayed in your event hub. Para ello, vaya al centro de eventos desde el portal y compruebe que el número de mensajes entrantes es mayor que cero.To do so, go to the event hub from the portal and verify that the incoming messages count is greater than zero.

    Registros de auditoría

Acceso a datos desde un centro de eventosAccess data from your event hub

Después de mostrar los datos del centro de eventos, puede acceder y leer los datos de dos maneras:After data is displayed in the event hub, you can access and read the data in two ways:

Pasos siguientesNext steps