Ejemplo de logs en Activity Log para Movimientos de Suscripción y Aumento Exponencial de Facturación en Azure // Sample Logs in Activity Log for Azure Subscription Moves and Exponential Billing Increase

Question

Buen día.

Estoy buscando ejemplos de logs en Activity Log (o cualquier otro log de Azure) que me ayuden a identificar las siguientes casuísticas:

1. Movimientos de suscripción en Azure:
   • ¿Cómo se registra en el Activity Log cuando un recurso se mueve entre suscripciones?
   • ¿Cuál es el operationName asociado a esta acción?
   • ¿Qué campos específicos me pueden ayudar a identificar un movimiento exitoso o fallido?
2. Incremento exponencial de facturación en recursos de Azure:
   • ¿Qué eventos en los logs pueden indicar un aumento inusual de costos?
   • ¿Existen logs en Azure Monitor, Activity Log o Cost Management que permitan rastrear la casuistica?
   • ¿Cómo puedo correlacionar eventos de escalado de recursos o cambios en la configuración con un aumento en la facturación?

Agradecería mucho si pudieran proporcionar ejemplos JSON de logs.

---

I am looking for examples of logs in Activity Log (or any relevant Azure log) that can help me identify the following scenarios:

1. Azure Subscription Moves:
   • How is a resource move between subscriptions recorded in the Activity Log?
   • What is the operationName associated with this action?
   • Which specific fields can help me identify a successful or failed move operation?
2. Exponential Billing Increase in Azure Resources:
   • What log events can indicate an unusual increase in Azure costs?
   • Are there logs in Azure Monitor, Activity Log, or Cost Management that allow tracking the cause of the increase?
   • How can I correlate resource scaling events or configuration changes with a spike in billing?

I would greatly appreciate it if you could provide JSON log examples.

Answer 1

Hola Fabio Alarcón,

¡Bienvenido(a) a Microsoft Q&A!

El operationName asociado a la acción de mover un recurso entre suscripciones en Azure es Microsoft.Resources/subscriptions/resourceGroups/moveResources/action

Para identificar si un movimiento fue exitoso o fallido, puedes revisar los siguientes campos en el Activity Log:

1. status: Indica el estado general de la operación. Los valores comunes son Succeeded, Failed, o InProgress.
2. properties.statusCode: Proporciona un código de estado más detallado, como Accepted para operaciones en progreso o Conflict para errores.
3. properties.message: Contiene un mensaje descriptivo sobre el resultado de la operación, como "Move resources operation completed successfully" o detalles del error si falló.
4. level: Indica la severidad del evento. Los valores pueden ser Informational, Warning, Error, etc.

Aquí tienes un ejemplo de cómo se verían estos campos en un log de movimiento exitoso:

{
  "time": "2025-01-28T11:34:55Z",
  "operationName": "Microsoft.Resources/subscriptions/resourceGroups/moveResources/action",
  "status": "Succeeded",
  "properties": {
    "statusCode": "Accepted",
    "serviceRequestId": "12345678-1234-1234-1234-123456789abc",
    "eventCategory": "Administrative",
    "entity": "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/Microsoft.Resources/subscriptions/{targetSubscriptionId}/resourceGroups/{targetResourceGroupName}",
    "message": "Move resources operation completed successfully."
  },
  "caller": "user@example.com",
  "correlationId": "abcdef12-3456-7890-abcd-ef1234567890",
  "resourceId": "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/Microsoft.Resources/subscriptions/{targetSubscriptionId}/resourceGroups/{targetResourceGroupName}",
  "level": "Informational"
}

Ahora sobre el segundo punto, para identificar un aumento de un recurso en los logs de Azure, puedes utilizar cualquiera de los programas mencionados. Aquí te explico cómo podrías hacerlo en cada uno de ellos:1. Activity Log:

• Busca eventos que indiquen la creación, modificación o eliminación de recursos. Por ejemplo, si ves un aumento en el número de máquinas virtuales o cambios en sus tamaños, esto podría explicar un aumento en los costos
  • Algunos eventos en el Activity Log te permiten ver el historial de cambios, mostrando las modificaciones realizadas en los recursos durante un período específico.

1. Azure Monitor y Log Analytics:
   • Puedes configurar consultas en Log Analytics para analizar los datos de telemetría y detectar patrones de uso inusual. Por ejemplo, una consulta que muestre un aumento en el uso de CPU, memoria o almacenamiento puede indicar un incremento en los costos
2. Cost Management:
   • Puedes configurar alertas para recibir notificaciones cuando los gastos superen ciertos umbrales. Revisa los informes detallados para identificar qué recursos están consumiendo más presupuesto

Aquí tienes un ejemplo de cómo podría verse una consulta en Log Analytics para detectar un aumento en el uso de máquinas virtuales:

AzureActivity
| where ResourceProvider == "Microsoft.Compute"
| where OperationName == "Microsoft.Compute/virtualMachines/write"
| summarize count() by bin(TimeGenerated, 1d)
| render timechart

En caso de que necesites la información usada como referencia: Esquema de eventos del registro de actividad de Azure

Atentamente,

Gao

---

Si esta respuesta resolvió tu consulta, por favor haz clic en 'Aceptar respuesta'. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones.