Configurações de diagnóstico no Azure Monitor

2025-08-12

As configurações de diagnóstico no Azure Monitor permitem coletar logs de recursos e enviar métricas de plataforma e o log de atividades para destinos diferentes. Crie uma configuração de diagnóstico separada para cada recurso do qual você deseja coletar dados. Cada configuração define os dados do recurso a serem coletados e os destinos para os quais enviar esses dados. Este artigo descreve os detalhes das configurações de diagnóstico, incluindo como criá-las e os destinos disponíveis para enviar dados.

O vídeo a seguir percorre os logs da plataforma de recursos de roteamento com configurações de diagnóstico. As alterações a seguir foram feitas nas configurações de diagnóstico desde que o vídeo foi gravado, mas esses tópicos são discutidos neste artigo.

Parceiros do Azure Monitor
Grupos de categorias

Warning

Exclua as configurações de diagnóstico de um recurso ao excluir ou renomear esse recurso, ou ao migrá-lo entre grupos de recursos ou assinaturas. Se a configuração de diagnóstico não for removida e esse recurso for recriado, qualquer configuração de diagnóstico para o recurso excluído poderá ser aplicada à nova. Isso retomará a coleta de logs de recursos conforme definido na configuração de diagnóstico.

Sources

As configurações de diagnóstico podem coletar dados das fontes na tabela a seguir. Consulte cada artigo vinculado para obter detalhes sobre os dados coletados por essa fonte e seu formato em cada destino.

Fonte de dados	Description
Métricas de plataforma	Coletado automaticamente sem configuração. Use uma configuração de diagnóstico para enviar métricas de plataforma para outros destinos.
Log de atividade	Coletado automaticamente sem configuração. Use uma configuração de diagnóstico para enviar entradas de log de atividades para outros destinos.
Logs de recursos	Não são coletados por padrão. Crie uma configuração de diagnóstico para coletar logs de recursos.

Destinations

As configurações de diagnóstico enviam dados para os destinos na tabela a seguir. Para garantir a segurança dos dados em trânsito, todos os pontos de extremidade de destino são configurados para oferecer suporte ao TLS 1.2.

Uma única configuração de diagnóstico pode definir não mais do que um dos destinos. Se você quiser enviar dados para mais de um tipo de destino específico (por exemplo, dois workspaces diferentes do Log Analytics), crie várias configurações. Cada recurso pode ter até cinco configurações de diagnóstico.

Todos os destinos usados pela configuração de diagnóstico devem existir antes que a configuração possa ser criada. O destino não precisa estar na mesma assinatura que o recurso que envie os logs se o usuário que define a configuração tiver controle de acesso baseado em função do Azure apropriado a ambas as assinaturas. Utilize o Azure Lighthouse para incluir destinos em outro tenant do Microsoft Entra.

Destination	Description	Requirements
Workspace do Log Analytics	Recupere dados usando consultas de log e pastas de trabalho. Use alertas de log para alertar proativamente sobre os dados. Confira a referência de log de recursos do Azure Monitor para as tabelas usadas por diferentes recursos do Azure.	Todas as tabelas em um workspace do Log Analytics são criadas automaticamente quando os primeiros dados são enviados para o workspace, portanto, somente o workspace em si deve existir.
Conta de Armazenamento do Azure	Armazene para auditoria, análise estática ou cópia de segurança. O armazenamento pode ser mais barato do que outras opções e pode ser mantido indefinidamente. Envie dados para o armazenamento imutável para impedir sua modificação. Defina a política imutável para a conta de armazenamento, conforme descrito em Definir e gerenciar políticas de imutabilidade para o Armazenamento de Blobs do Azure.	As contas de armazenamento devem estar na mesma região que o recurso que está sendo monitorado se o recurso for regional. As configurações de diagnóstico não pode acessar as contas de armazenamento quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que serviços confiáveis da Microsoft ignorem essa configuração de firewall em contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso à sua conta de armazenamento. Não há suporte para pontos de extremidade de zona DNS do Azure (versão prévia) e contas de armazenamento Premium como destino. Há suporte para todas as contas de armazenamento Standard .
Hubs de Eventos do Azure	Transmita dados para sistemas externos, como SIEMs de terceiros e outras soluções do Log Analytics.	Os hubs de eventos devem estar na mesma região que o recurso que está sendo monitorado se o recurso for regional. As configurações de diagnóstico não podem acessar hubs de eventos quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que serviços confiáveis da Microsoft ignorem essa configuração de firewall em contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso à sua conta de armazenamento. A política de acesso compartilhado para o namespace do hub de eventos define as permissões que o mecanismo de streaming tem. O streaming para Hubs de Eventos requer `Manage`, `Send`e `Listen` permissões. Para atualizar a configuração de diagnóstico para incluir streaming, você deve ter a `ListKey` permissão nessa regra de autorização dos Hubs de Eventos.
Soluções de parceiro do Azure Monitor	Integrações especializadas podem ser feitas entre o Azure Monitor e outras plataformas de monitoramento que não sejam da Microsoft. As soluções variam de acordo com o parceiro.	Consulte a documentação dos Serviços ISV Nativos do Azure para obter detalhes.

Criar uma configuração de diagnóstico

Você pode criar uma configuração de diagnóstico usando qualquer um dos métodos a seguir.

Note

Para criar uma configuração de diagnóstico para o log de atividades, consulte Exportar log de atividades.

Use as etapas a seguir para criar uma nova configuração de diagnóstico ou editar uma existente no portal do Azure.

Selecione configurações de diagnóstico na seção Monitoramento do menu de um recurso ou selecione Configurações de diagnóstico em Configurações no menu do Azure Monitor e selecione o recurso.
Selecione Adicionar configuração de diagnóstico para adicionar uma nova configuração ou Editar configuração para editar uma existente. Talvez você precise de várias configurações de diagnóstico para um recurso se quiser enviar para vários destinos do mesmo tipo. O exemplo a seguir mostra as configurações de um recurso de cofre de chaves, mas a tela é semelhante para outros recursos.
Dê um nome descritivo à sua configuração se ela ainda não tiver um.
Logs e métricas para rota: para logs, escolha um grupo de categorias ou marque as caixas de seleção individuais para cada categoria de dados que você quer enviar para os destinos especificados mais tarde. A lista de categorias varia para cada serviço do Azure. Selecione AllMetrics se você quiser coletar métricas de plataforma.
Detalhes do destino: selecione a caixa de seleção para cada destino que deve ser incluído nas configurações de diagnóstico e forneça os detalhes para cada um. Se você selecionar o workspace do Log Analytics como um destino, talvez seja necessário especificar o modo de coleção. Consulte modo de coleta para obter detalhes.

Use o cmdlet New-AzDiagnosticSetting para criar uma configuração de diagnóstico com o Azure PowerShell. Confira a documentação deste cmdlet para obter descrições de seus parâmetros.

Important

Você não pode usar esse método para um log de atividades. Em vez disso, use Criar uma configuração de diagnóstico no Azure Monitor usando um modelo do Azure Resource Manager para criar um modelo do Resource Manager e implantá-lo com o PowerShell.

O seguinte script de exemplo do PowerShell cria uma configuração de diagnóstico para enviar todos os logs e métricas de um cofre de chaves para um workspace do Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Use o comando az monitor diagnostic-settings create para criar uma configuração de diagnóstico com a CLI do Azure. Confira a documentação desse comando para obter descrições de seus parâmetros.

Important

Você não pode usar esse método para um log de atividades. Em vez disso, use Criar configuração de diagnóstico no Azure Monitor usando um modelo do Gerenciador de Recursos para criar um modelo do Gerenciador de Recursos e implantá-lo com a CLI do Azure.

O script de exemplo a seguir cria uma configuração de diagnóstico que envia dados para todos os três destinos. Para especificar o modo específico do recurso se o serviço der suporte a ele, adicione o export-to-resource-specific parâmetro com um valor de true.'

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

O modelo de exemplo a seguir cria uma configuração de diagnóstico para enviar todos os logs de auditoria para um workspace do Log Analytics. A apiVersion pode ser alterada dependendo do recurso no escopo. Consulte exemplos de modelo do Resource Manager para obter configurações de diagnóstico no Azure Monitor para obter modelos de exemplo para outros recursos.

Arquivo de modelo

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Grupos de categorias

Você pode usar grupos de categorias para coletar logs de recursos com base em agrupamentos predefinidos em vez de selecionar categorias de log individuais. A Microsoft define os agrupamentos para ajudar a monitorar casos de uso comuns. Se as categorias no grupo forem atualizadas, sua coleção de logs será modificada automaticamente. Nem todos os serviços do Azure usam grupos de categorias. Se os grupos de categorias não estiverem disponíveis para um recurso específico, a opção não estará disponível ao criar a configuração de diagnóstico.

Se você usar grupos de categorias em uma configuração de diagnóstico, não poderá selecionar tipos de categoria individuais. Atualmente, há dois grupos de categorias:

allLogs: todas as categorias do recurso.
auditoria: todos os logs de recursos que registram interações do cliente com os dados ou as configurações do serviço. Você não precisará selecionar este grupo de categorias se selecionar o grupo de allLogs.

Note

Habilitar a categoria Auditoria nas configurações de diagnóstico do Banco de Dados SQL do Azure não ativa a auditoria para o banco de dados. Para habilitar a auditoria de banco de dados, você precisa fazê-lo na folha de auditoria do Banco de Dados do Azure.

Limitações de métricas

Nem todas as métricas podem ser enviadas para um workspace do Log Analytics com configurações de diagnóstico. Consulte a coluna Exportável na lista de métricas com suporte.

Atualmente, as configurações de diagnóstico não dão suporte a métricas multidimensionais. As métricas com dimensões são exportadas como métricas unidimensionais niveladas e agregadas entre valores de dimensão. Por exemplo, a métrica IOReadBytes em um blockchain pode ser explorada e plotada em um nível por nó. Quando exportada por meio de configurações de diagnóstico, a métrica é representada como todos os bytes de leitura de todos os nós.

Para contornar as limitações para métricas específicas, você pode extraí-las manualmente usando a API REST de Métricas e importá-las para um workspace do Log Analytics com a API de ingestão de Logs.

Controle dos custos

Pode haver um custo para os dados coletados em função das configurações de diagnóstico. O custo depende do destino escolhido e do volume de dados coletados. Para obter mais informações, consulte os preços do Azure Monitor.

Colete apenas as categorias necessárias para cada serviço. Também pode não ser necessário coletar métricas de plataforma de recursos do Azure, pois esses dados já estão sendo coletados em Métricas. Configure seus dados de diagnóstico para coletar métricas somente se precisar de dados de métricas no workspace para análises mais complexas com consultas de log.

As configurações de diagnóstico não permitem filtragem granular dentro de uma categoria selecionada. Você pode filtrar dados para tabelas com suporte em um workspace do Log Analytics usando transformações. Consulte transformações no Azure Monitor para obter detalhes.

Tempo antes da telemetria chegar ao destino

Depois de criar uma configuração de diagnóstico, os dados devem começar a fluir para seus destinos selecionados dentro de 90 minutos. Ao enviar dados para um workspace do Log Analytics, a tabela será criada automaticamente se ainda não existir. A tabela só é criada quando os primeiros registros de log são recebidos. Se você não receber nenhuma informação dentro de 24 horas, então você pode estar enfrentando um dos seguintes problemas:

Nenhum log está sendo gerado.
Algo está errado no mecanismo de roteamento subjacente.

Se você estiver enfrentando um problema, desabilite e reabilite a configuração. Entre em contato com Suporte do Azure por meio do portal do Azure se você continuar tendo problemas.

Troubleshooting

Não há suporte para a categoria de métrica
Você pode receber uma mensagem de erro semelhante a categoria de métrica 'xxxx' não é suportada ao usar um modelo do Resource Manager, a API REST, a CLI do Azure ou o Azure PowerShell. Não há suporte para as categorias de métrica diferentes de AllMetrics, exceto por um número limitado de serviços do Azure. Remova todos os nomes de categoria de métrica que não sejam AllMetrics e repita sua implantação.

A configuração desaparece devido a caracteres não ASCII no resourceID
As configurações de diagnóstico não dão suporte a IDs de recurso com caracteres não ASCII (por exemplo, Preproduccón). Como não é possível renomear os recursos no Azure, você deve criar um novo recurso sem os caracteres não ASCII. Se os caracteres estiverem em um grupo de recursos, você poderá mover os recursos para um novo grupo.

Recursos inativos
Quando um recurso está inativo e exportando métricas de valor zero, o mecanismo de exportação das configurações de diagnóstico reduz gradualmente a frequência para evitar custos desnecessários de exportação e armazenamento de valores zero. Esse recuo pode levar a um atraso na exportação do próximo valor diferente de zero. Esse comportamento se aplica apenas a métricas exportadas e não afeta alertas baseados em métricas ou dimensionamento automático.

Quando um recurso fica inativo por uma hora, o mecanismo de exportação recua para 15 minutos. Isso significa que há uma possível latência de até 15 minutos para que o próximo valor diferente de zero seja exportado. O tempo máximo de espera de duas horas é alcançado após sete dias de inatividade. Quando o recurso começa a exportar valores diferentes de zero, o mecanismo de exportação retorna à latência de exportação original de três minutos.

Dados duplicados do Application Insights
As configurações de diagnóstico para aplicativos Application Insights baseados em workspace coletam os mesmos dados que o próprio Application Insights. Isso resultará na coleta de dados duplicados se o destino for o mesmo workspace do Log Analytics que o aplicativo está usando. Crie uma configuração de diagnóstico para o Application Insights para enviar dados para um espaço de trabalho diferente do Log Analytics ou outro destino.

Próximas etapas

Comentários

Esta página foi útil?