Definições de diagnóstico no Azure Monitor

2025-08-12

As configurações de diagnóstico no Azure Monitor permitem coletar logs de recursos e enviar métricas da plataforma e o log de atividades para destinos diferentes. Crie uma configuração de diagnóstico separada para cada recurso do qual você deseja coletar dados. Cada configuração define os dados do recurso a ser coletado e os destinos para os quais enviar esses dados. Este artigo descreve os detalhes das configurações de diagnóstico, incluindo como criá-las e os destinos disponíveis para o envio de dados.

O vídeo a seguir percorre os logs da plataforma de recursos de roteamento com configurações de diagnóstico. As seguintes alterações foram feitas nas configurações de diagnóstico desde que o vídeo foi gravado, mas esses tópicos são discutidos neste artigo.

Parceiros do Azure Monitor
Grupos de categorias

Warning

Exclua todas as configurações de diagnóstico de um recurso se você excluir ou renomear esse recurso ou se migrá-lo entre grupos de recursos ou assinaturas. Se a configuração de diagnóstico não for removida e esse recurso for recriado, todas as configurações de diagnóstico para o recurso excluído poderão ser aplicadas ao novo. Isso retomaria a coleta de logs de recursos conforme definido na configuração de diagnóstico.

Sources

As configurações de diagnóstico podem coletar dados das fontes na tabela a seguir. Consulte cada artigo vinculado para obter detalhes sobre os dados coletados por essa fonte e seu formato em cada destino.

Fonte de dados	Description
Métricas da plataforma	Recolhido automaticamente sem configuração. Use uma configuração de diagnóstico para enviar métricas da plataforma para outros destinos.
Registo de atividades	Recolhido automaticamente sem configuração. Use uma configuração de diagnóstico para enviar entradas do log de atividades para outros destinos.
Logs de recursos	Não são recolhidos por predefinição. Crie uma definição de diagnóstico para coletar registos de recursos.

Destinations

As configurações de diagnóstico enviam dados para os destinos na tabela a seguir. Para garantir a segurança dos dados em trânsito, todos os pontos de extremidade de destino são configurados para suportar TLS 1.2.

Uma única configuração de diagnóstico não pode definir mais do que um de cada um dos destinos. Se você quiser enviar dados para mais de um tipo de destino específico (por exemplo, dois espaços de trabalho diferentes do Log Analytics), crie várias configurações. Cada recurso pode ter até cinco configurações de diagnóstico.

Todos os destinos usados pela configuração de diagnóstico devem existir antes que a configuração possa ser criada. O destino não precisa estar na mesma assinatura que a do recurso que envia logs, desde que o usuário que configura a definição tenha o acesso adequado de controle baseado em funções do Azure para ambas as assinaturas. Utilize o Azure Lighthouse para incluir destinos noutro tenant Microsoft Entra.

Destination	Description	Requirements
Área de trabalho do Log Analytics	Recupere dados usando consultas de log e pastas de trabalho. Use alertas de log para alertar proativamente sobre os dados. Consulte Referência do log de recursos do Azure Monitor para tabelas usadas por diferentes recursos do Azure.	Todas as tabelas em um espaço de trabalho do Log Analytics são criadas automaticamente quando os primeiros dados são enviados para o espaço de trabalho, portanto, apenas o espaço de trabalho em si deve existir.
Conta de armazenamento do Azure	Armazene para auditoria, análise estática ou cópia de segurança. O armazenamento pode ser menos dispendioso do que outras opções e pode ser mantido indefinidamente. Envie dados para armazenamento imutável para evitar a sua modificação. Defina a política imutável para a conta de armazenamento conforme descrito em Definir e gerenciar políticas de imutabilidade para o Armazenamento de Blobs do Azure.	As contas de armazenamento devem estar na mesma região que o recurso que está sendo monitorado se o recurso for regional. As configurações de diagnóstico não podem acessar contas de armazenamento quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que serviços confiáveis da Microsoft ignorem essa configuração de firewall em contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso à sua conta de armazenamento. Os pontos de extremidade de zona DNS do Azure (visualização) e quaisquer contas de armazenamento Premium não são suportados como destino. Todas as contas de armazenamento padrão são suportadas.
Hubs de Eventos do Azure	Transmita dados para sistemas externos, como SIEMs de terceiros e outras soluções de Log Analytics.	Os hubs de eventos devem estar na mesma região que o recurso que está sendo monitorado se o recurso for regional. As configurações de diagnóstico não podem acessar hubs de eventos quando as redes virtuais estão habilitadas. Você deve habilitar Permitir que serviços confiáveis da Microsoft ignorem essa configuração de firewall em contas de armazenamento para que o serviço de configurações de diagnóstico do Azure Monitor tenha acesso à sua conta de armazenamento. A política de acesso compartilhado para namespace do hub de eventos define as permissões que o mecanismo de streaming tem. O streaming para Hubs de Eventos requer `Manage`, `Send`e `Listen` permissões. Para atualizar a configuração de diagnóstico para incluir streaming, você deve ter a `ListKey` permissão nessa regra de autorização de Hubs de Eventos.
Soluções de parceiros do Azure Monitor	Integrações especializadas podem ser feitas entre o Azure Monitor e outras plataformas de monitoramento que não sejam da Microsoft. As soluções variam de acordo com o parceiro.	Consulte a documentação dos Serviços ISV Nativos do Azure para obter detalhes.

Criar uma configuração de diagnóstico

Você pode criar uma configuração de diagnóstico usando qualquer um dos seguintes métodos.

Note

Para criar uma configuração de diagnóstico para o log de atividades, consulte Exportar log de atividades.

Use as etapas a seguir para criar uma nova configuração de diagnóstico ou editar uma existente no portal do Azure.

Selecione Configurações de diagnóstico na seção Monitoramento do menu de um recurso ou selecione Configurações de diagnóstico em Configurações no menu Monitor do Azure e selecione o recurso.
Selecione Adicionar configuração de diagnóstico para adicionar uma nova configuração ou Editar configuração para editar uma configuração existente. Você pode precisar de várias configurações de diagnóstico para um recurso se quiser enviar para vários destinos do mesmo tipo. O exemplo a seguir mostra as configurações de um recurso do cofre de chaves, mas a tela é semelhante para outros recursos.
Dê à sua configuração um nome descritivo, se ela ainda não tiver um.
Logs e métricas a serem roteados: para logs, escolha um grupo de categorias ou marque as caixas de seleção individuais para cada categoria de dados que você deseja enviar para os destinos especificados posteriormente. A lista de categorias varia para cada serviço do Azure. Selecione AllMetrics se quiser coletar métricas da plataforma.
Detalhes do destino: marque a caixa de seleção para cada destino que deve ser incluído nas configurações de diagnóstico e, em seguida, forneça os detalhes para cada um. Se você selecionar o espaço de trabalho do Log Analytics como um destino, talvez seja necessário especificar o modo de coleta. Consulte Modo de coleta para obter detalhes.

Utilize o cmdlet New-AzDiagnosticSetting para criar uma definição de diagnóstico com Azure PowerShell. Consulte a documentação deste cmdlet para obter descrições de seus parâmetros.

Important

Não é possível usar esse método para um log de atividades. Em vez disso, use Criar configuração de diagnóstico no Azure Monitor usando um modelo do Azure Resource Manager para criar um modelo do Resource Manager e implantá-lo com o PowerShell.

O exemplo de script PowerShell a seguir cria uma configuração de diagnóstico para enviar todos os logs e métricas de um cofre de chaves para um espaço de trabalho do Log Analytics.

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Utilize o comando az monitor diagnostic-settings create para criar uma configuração de diagnóstico com a CLI do Azure. Consulte a documentação deste comando para obter descrições de seus parâmetros.

Important

Não é possível usar esse método para um log de atividades. Em vez disso, use Criar configuração de diagnóstico no Azure Monitor usando um modelo do Gerenciador de Recursos para criar um modelo do Gerenciador de Recursos e implantá-lo com a CLI do Azure.

O script de exemplo a seguir cria uma configuração de diagnóstico que envia dados para os três destinos. Para especificar modo específico do recurso, caso o serviço o suporte, adicione o parâmetro export-to-resource-specific com um valor de true.

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

O modelo de exemplo a seguir cria uma configuração de diagnóstico para enviar todos os logs de auditoria para um espaço de trabalho de análise de log. O apiVersion pode mudar dependendo do recurso dentro do escopo. Consulte Exemplos de modelo do Resource Manager para configurações de diagnóstico no Azure Monitor para modelos de exemplo para outros recursos.

Arquivo de modelo

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Grupos de categorias

Você pode usar grupos de categorias para coletar logs de recursos com base em agrupamentos predefinidos em vez de selecionar categorias de log individuais. A Microsoft define os agrupamentos para ajudar a monitorar casos de uso comuns. Se as categorias no grupo forem atualizadas, sua coleção de logs será modificada automaticamente. Nem todos os serviços do Azure usam grupos de categorias. Se os grupos de categorias não estiverem disponíveis para um recurso específico, a opção não estará disponível ao criar a configuração de diagnóstico.

Se você usar grupos de categorias em uma configuração de diagnóstico, não poderá selecionar tipos de categoria individuais. Atualmente, existem dois grupos de categorias:

allLogs: todas as categorias para o recurso.
auditoria: todos os registos de recursos que registam as interações do cliente com os dados ou as configurações do serviço. Não é necessário selecionar este grupo de categorias se selecionar o grupo de categorias allLogs .

Note

Habilitar a categoria Auditoria nas configurações de diagnóstico do Banco de Dados SQL do Azure não ativa a auditoria para o banco de dados. Para ativar a auditoria da base de dados, tem de ativá-la no painel de auditoria da Base de Dados do Azure.

Limitações de métricas

Nem todas as métricas podem ser enviadas para um espaço de trabalho do Log Analytics com configurações de diagnóstico. Consulte a coluna Exportável na lista de métricas suportadas.

Atualmente, as configurações de diagnóstico não oferecem suporte a métricas multidimensionais. As métricas com dimensões são exportadas como métricas unidimensionais simplificadas e agregadas através dos valores das dimensões. Por exemplo, a métrica IOReadBytes numa blockchain pode ser explorada e representada graficamente ao nível de cada nó. Quando exportada com configurações de diagnóstico, a métrica exportada mostra todos os bytes lidos para todos os nós.

Para contornar as limitações de métricas específicas, você pode extraí-las manualmente usando a API REST de métricas e, em seguida, importá-las para um espaço de trabalho do Log Analytics com a API de ingestão de logs.

Controlo de custos

Pode haver um custo para os dados coletados por configurações de diagnóstico. O custo depende do destino escolhido e do volume de dados recolhidos. Para obter mais informações, consulte Preços do Azure Monitor.

Colete apenas as categorias necessárias para cada serviço. Você também pode não querer coletar métricas da plataforma dos recursos do Azure porque esses dados já estão sendo coletados em Métricas. Configure seus dados de diagnóstico apenas para coletar métricas se precisar de dados métricos no espaço de trabalho para análises mais complexas com consultas de log.

As configurações de diagnóstico não permitem filtragem granular dentro de uma categoria selecionada. Você pode filtrar dados para tabelas suportadas em um espaço de trabalho do Log Analytics usando transformações. Consulte Transformações no Azure Monitor para obter detalhes.

Tempo antes de a telemetria chegar ao destino

Depois de criar uma configuração de diagnóstico, os dados devem começar a fluir para os destinos selecionados dentro de 90 minutos. Ao enviar dados para um espaço de trabalho do Log Analytics, a tabela é criada automaticamente se ainda não existir. A tabela só é criada quando os primeiros registros de log são recebidos. Se você não receber nenhuma informação dentro de 24 horas, então você pode estar enfrentando um dos seguintes problemas:

Nenhum log está sendo gerado.
Algo está errado no mecanismo de roteamento subjacente.

Se estiver a ter um problema, desative a configuração e, em seguida, reative-a. Contacte o suporte do Azure através do portal do Azure se continuar a ter problemas.

Troubleshooting

A categoria de métrica não é suportada
Você pode receber uma mensagem de erro semelhante à categoria de métrica 'xxxx' não é suportada ao usar um modelo do Gerenciador de Recursos, API REST, CLI do Azure ou Azure PowerShell. Categorias de métricas diferentes de AllMetrics não são suportadas, exceto por um número limitado de serviços do Azure. Remova quaisquer nomes de categorias de métricas, exceto AllMetrics, e repita a implantação.

A configuração desaparece devido a caracteres não-ASCII no resourceID
As configurações de diagnóstico não suportam IDs de recursos com caracteres não-ASCII (por exemplo, Preproduccón). Como não é possível renomear recursos no Azure, você deve criar um novo recurso sem os caracteres não-ASCII. Se os caracteres estiverem em um grupo de recursos, você poderá movê-los para um novo grupo.

Recursos inativos
Quando um recurso está inativo e exportando métricas de valor zero, o mecanismo de exportação de configurações de diagnóstico recua incrementalmente para evitar custos desnecessários de exportação e armazenamento de valores zero. Este recuo pode levar a um atraso na exportação do próximo valor diferente de zero. Esse comportamento só se aplica a métricas exportadas e não afeta alertas baseados em métricas ou dimensionamento automático.

Quando um recurso fica inativo por uma hora, o mecanismo de exportação recua para 15 minutos. Isso significa que há uma latência potencial de até 15 minutos para o próximo valor diferente de zero a ser exportado. O tempo máximo de descanso de duas horas é atingido após sete dias de inatividade. Quando o recurso começa a exportar valores diferentes de zero, o mecanismo de exportação reverte para a latência de exportação original de três minutos.

Dados duplicados para o Application Insights
As configurações de diagnóstico para aplicativos do Application Insights baseados em espaço de trabalho coletam os mesmos dados que o próprio Application Insights. Isso resulta na coleta de dados duplicados se o destino for o mesmo espaço de trabalho do Log Analytics que o aplicativo está usando. Crie uma configuração de diagnóstico para o Application insights para enviar dados para um espaço de trabalho diferente do Log Analytics ou outro destino.