AZ-305

Deep Dive

D1 · Identidad, Gobernanza y Monitoreo

Diseño de Monitoreo

En AZ-305 el monitoreo no es "qué hace Azure Monitor" sino cómo diseñar la topología de workspaces, qué herramienta usar para cada señal (métricas, logs, trazas), y cómo balancear retención vs costo. La pregunta recurrente: ¿centralizado o descentralizado?

Icon-manage-317

El stack de monitoreo de Azure

HerramientaSeñalCuándo en el diseño
Azure Monitor MetricsMétricas numéricas de plataforma (casi tiempo real)Alertas de CPU/latencia, autoscaling, dashboards en vivo
Azure Monitor Logs (Log Analytics)Logs estructurados consultables con KQLAnálisis profundo, correlación, auditoría, alertas de log
Application InsightsTelemetría de aplicación (requests, dependencias, excepciones, trazas)APM: rendimiento y fallos de apps, distributed tracing
Activity LogOperaciones del plano de control (quién creó/borró qué)Auditoría de cambios — exportar al workspace para retención
Diagnostic SettingsRouter: envía resource logs/métricas a destinosWorkspace (análisis), Storage (archivo barato), Event Hubs (SIEM externo)
Microsoft SentinelSIEM/SOAR sobre Log AnalyticsDetección de amenazas, hunting, respuesta automatizada
Network WatcherDiagnóstico de red (flow logs, packet capture)Troubleshooting de conectividad, NSG flow logs

Regla mnemónica para diagnostic settings

Analizar → Log Analytics workspace. Archivar barato → Storage Account. Integrar con SIEM/terceros → Event Hubs. Un diagnostic setting puede enviar a varios destinos a la vez.

Icon-manage-307

Diseño de Log Analytics workspaces

Recomendación general (y del CAF): un workspace central por región en la suscripción de Management. Empezar centralizado; separar solo cuando exista un driver real.

Workspace centralizado (default)

  • • Correlación entre workloads con una sola query KQL
  • • Una configuración de retención, RBAC y export
  • • Mejor precio: commitment tiers por volumen agregado
  • • Sentinel necesita los datos en su workspace — centralizar facilita el SIEM

Cuándo separar workspaces

  • Soberanía de datos: los logs no pueden salir de una región/país (el workspace fija la región de los datos)
  • • Requisitos de retención/tarifas radicalmente distintos por equipo
  • • Aislamiento estricto de acceso que el RBAC granular no resuelve
  • • Chargeback de costos de ingesta por equipo

Control de acceso dentro de un workspace compartido

  • Resource-context RBAC: los usuarios con acceso a un recurso ven SOLO los logs de ese recurso — sin permisos en el workspace. Es lo que permite compartir workspace entre equipos
  • Table-level RBAC: restringir tablas específicas (ej: SecurityEvent solo para SecOps)
  • • Modo de acceso del workspace: workspace-context (admins/centrales) vs resource-context (equipos de aplicación)
Icon-manage-310

Application Insights — APM

Qué aporta al diseño

  • Distributed tracing: seguir una request a través de microservicios (Application Map)
  • • Detección de anomalías (Smart Detection) y profiler
  • Availability tests: pruebas sintéticas desde regiones globales (URL ping deprecado → standard tests)
  • • Funnels, user flows y telemetría de uso para producto
  • • Workspace-based: los datos viven en Log Analytics (correlación con todo lo demás)

Instrumentación

  • Auto-instrumentation: sin tocar código (App Service, Functions, AKS con agente) — primera opción si está disponible
  • • SDK / OpenTelemetry: control total, telemetría custom, sampling configurable
  • • Sampling reduce volumen/costo manteniendo representatividad estadística
Icon-manage-317

Alertas y action groups

Tipo de alertaSeñalCuándo diseñarla
Metric alertMétrica numérica de plataforma (CPU, latencia, requests)Baja latencia (~1 min); ideal para autoscaling triggers, SLA de rendimiento
Log alertQuery KQL sobre Log AnalyticsCondiciones complejas (ej: 5 errores 500 en 10 min); latencia 1-5 min
Activity log alertOperación del plano de control (ARM)Auditoría: alguien borró un RG, cambió una policy, eliminó un Key Vault
Smart detection (App Insights)Anomalías detectadas automáticamenteSin umbral manual — ML detecta degradación, fallo en dependencias, excepciones inusuales
Prometheus alerts (AKS)Métricas de Prometheus desde el clústerWorkloads Kubernetes — se define con reglas PromQL en Azure Monitor Workspace

Action groups — el "a quién notificar"

Un action group es la lista de acciones a ejecutar cuando se dispara una alerta. Reutilizable: múltiples reglas de alerta apuntan al mismo group.

  • Email / SMS / Push / Voice — notificación a personas
  • Webhook / ITSM — integración con ServiceNow, PagerDuty
  • Automation Runbook — remediación automática (reiniciar servicio)
  • Logic App / Function / Event Hubs — flujos customizados
  • Azure Resource Manager action — escalar VMSS directamente

Principios de diseño de alertas

  • • Alertas en el ámbito más alto posible (suscripción o RG) para capturar recursos nuevos automáticamente
  • Alerta de resolución automática: las metric alerts se auto-resuelven cuando la métrica vuelve a umbral normal
  • • Dimensiones en metric alerts: desglosar por instancia, región, código de respuesta sin multiplicar reglas
  • • Evitar "alert fatigue": umbral cuidadoso + supresión durante ventanas de mantenimiento
  • • Para SRE: definir SLOs con Composite SLAs y alertar sobre error budget

Señal en el examen

"Notificar al equipo cuando alguien borra un resource group" → activity log alert. "Alerta cuando CPU > 90%" → metric alert. "Ticket en ServiceNow automático al dispararse una alerta" → action group con ITSM connector. "Reiniciar automáticamente un servicio cuando falla" → action group con Automation Runbook.

Icon-manage-307

Retención, archivado y costos

CapaCaracterísticaUso de diseño
Retención interactivaDatos consultables con KQL al rendimiento completo (hasta 2 años)Operación diaria, alertas, dashboards
Long-term retention (archive)Hasta 12 años, barato, no consultable directamente — restore o search jobsCumplimiento normativo de retención larga
Basic/Auxiliary table plansIngesta más barata, KQL limitado, retención cortaLogs de alto volumen y bajo valor (verbose, debug)
Commitment tiersDescuento por compromiso de GB/díaVolúmenes predecibles ≥100 GB/día
Export a StorageDiagnostic settings → storage account con lifecycle a Cool/ArchiveArchivo más barato fuera del workspace, inmutabilidad
DCR transformationsFiltrar/transformar en la ingesta (Data Collection Rules)Descartar columnas/filas irrelevantes antes de pagar por ellas

El costo dominante es la INGESTA

Log Analytics cobra principalmente por GB ingerido. Las palancas de diseño: filtrar en origen (DCR transformations), planes de tabla Basic para logs verbose, sampling en App Insights, y archive/export para retención larga. Si el escenario pide "retener logs de auditoría 7 años al menor costo" → archive tier o export a storage con tier Archive.

Tabla de decisión

RequisitoDiseño
Correlacionar logs de 50 workloads con una queryWorkspace central (suscripción Management)
Logs de Alemania no pueden salir de AlemaniaWorkspace dedicado en la región alemana
Cada equipo ve solo los logs de SUS recursos en el workspace compartidoResource-context RBAC
Trazar una request a través de 10 microserviciosApplication Insights (distributed tracing / App Map)
Probar disponibilidad de la web desde 5 regionesApp Insights availability tests
Retener auditoría 7 años al menor costoLong-term retention (archive) o export a Storage Archive
Enviar logs al SIEM Splunk de la empresaDiagnostic settings → Event Hubs
Reducir el costo de ingesta de logs verboseDCR transformations + Basic table plan
Detección de amenazas y hunting sobre los logsMicrosoft Sentinel sobre el workspace
Notificar cuando CPU supere 90% en cualquier VMMetric alert con scope en suscripción/RG + action group email
Alerta cuando alguien elimine un recurso críticoActivity log alert (operación Delete en ese recurso)
Abrir ticket en ServiceNow al dispararse una alertaAction group con ITSM connector
Reiniciar automáticamente un servicio al detectar falloAction group → Automation Runbook

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa con workloads en West Europe diseña su monitoreo: (1) el SOC necesita correlacionar eventos de seguridad de todos los workloads, (2) cada equipo de aplicación debe ver únicamente los logs de sus propios recursos, (3) los logs de auditoría deben retenerse 7 años al menor costo. ¿Qué diseño cumple todo?

Inicia sesión para llevar tu progreso.