Creación y configuración de un monitor de base de datos (versión preliminar)

Se aplica a:Azure SQL DatabaseAzure SQL Managed Instance

Este artículo contiene pasos detallados para crear, configurar e iniciar un monitor de base de datos en Azure Portal para Azure SQL Database y Azure SQL Managed Instance.

El monitor de base de datos no requiere que implemente ni mantenga ningún agente de supervisión u otra infraestructura de supervisión. Puede habilitar la supervisión detallada de la base de datos de los recursos de Azure SQL en cuestión de minutos.

Para ver un ejemplo detallado simplificado para crear y configurar un monitor de base de datos, consulte Inicio rápido: Creación de un monitor de base de datos para supervisar Azure SQL.

Para ver cómo puede crear y configurar un monitor de base de datos con Bicep o una plantilla ARM , consulte el ejemplo de código Creación de un monitor de base de datos.

Para definir monitores mediante infraestructura como código (Bicep, plantillas de ARM, Terraform AzAPI), consulte la documentación referencia de recursos de Azure.

Para administrar monitores de base de datos mediante programación, consulte la documentación de la API de REST mediante programación.

Después de crear y configurar un monitor siguiendo los pasos descritos en este artículo, puede usar alertas de Azure Monitor. Para obtener más información, consulte Alertas del monitor de base de datos.

Nota

El monitor de base de datos está actualmente en versión preliminar.

Requisitos previos

Para usar el monitor de base de datos, se requieren los siguientes requisitos previos.

• Necesita una suscripción de Azure activa. En caso de no tener ninguna, cree una cuenta gratuita. Debe ser miembro del rol Colaborador o del rol Propietario para la suscripción o un grupo de recursos para poder crear recursos.

• Para configurar e iniciar un monitor de base de datos, necesita un destino SQL existente: una base de datos de Azure SQL, un grupo elástico o una instancia administrada de SQL.

  • Si aún no tiene una base de datos de Azure SQL creada, visite Inicio rápido: Creación de una base de datos única. Busque la opción de usar la oferta para Intentar Azure SQL Database de forma gratuita.
  • Como alternativa, Pruebe Azure SQL Managed Instance de forma gratuita (versión preliminar).

• Los proveedores de recursos Microsoft.DatabaseWatcher, Microsoft.Kusto y Microsoft.Network deben estar registrados en la suscripción de Azure.

  • Para usar la autenticación de SQL para las conexiones a los recursos de Azure SQL, también se debe registrar el proveedor de recursos de Microsoft.KeyVault. Consulte Configuración adicional para usar la autenticación de SQL.
  • Para crear reglas de alerta, el proveedor de recursos de Microsoft.Insights también debe registrarse.

  El registro del proveedor de recursos es automático si tiene la pertenencia a los roles Propietario o Colaborador de RBAC en el nivel de suscripción. De lo contrario, un usuario de uno de estos roles debe registrar proveedores de recursos para poder crear y configurar un monitor. Para obtener más información, consulte Registro del proveedor de recursos.

• El usuario que crea y configura el monitor y los recursos del clúster de Azure Data Explorer debe ser miembro de los roles RBAC Propietario o Colaborador para el grupo de recursos o la suscripción donde se crean estos recursos.

  Además, si se usa la autenticación de SQL, el usuario debe ser miembro del rol Propietario para el grupo de recursos, o un miembro de los roles Propietario o Rol de administrador de acceso de usuario para el almacén de claves que almacena las credenciales de autenticación de SQL.

• El usuario que configura el monitor debe tener acceso de administrador a los destinos de Azure SQL. Un administrador concede al monitor acceso limitado y específico a los destinos de supervisión de SQL. Para obtener más información, consulte Conceder acceso a destinos.

• Para conceder a un monitor acceso a un destino SQL, un administrador debe ejecutar scripts T-SQL mediante SQL Server Management Studio (SSMS), Visual Studio Code con la extensión de mssql de SQL Server u otras herramientas de cliente SQL.

• Para usar Azure Private Link para la conectividad privada con los recursos de Azure, el usuario que aprueba el punto de conexión privado debe ser miembro del rol RBAC Propietario o debe tener los permisos RBAC necesarios. Para obtener más información, consulte Aprobación de RBAC para el punto de conexión privado.

Creación de un monitor

1. En Azure Portal, en el menú de navegación, seleccione Todos los servicios. Seleccione Supervisar como categoría y, en Herramientas de supervisión, seleccione Monitores de base de datos. Como alternativa, puede escribir monitor de base de datos en el cuadro Buscar de la parte superior de la página del portal y seleccionar Monitores de base de datos.

   Una vez que se abra la vista Monitores de base de datos, seleccione Crear.

2. En la pestaña Aspectos básicos, seleccione la suscripción y el grupo de recursos del monitor, escriba el nombre del monitor y seleccione una región de Azure.

   Sugerencia

   Durante la versión preliminar, si el monitor de base de datos aún no está disponible en su región, puede crearlo en otra región. Para obtener más información, consulte Disponibilidad regional.

3. En la pestaña identidad, la identidad administrada asignada por el sistema del monitor está habilitada de forma predeterminada. Si quiere que el monitor use una identidad administrada asignada por el usuario en su lugar, seleccione el botón Agregar, busque la identidad que desea usar y seleccione el botón agregar. Para que la identidad asignada por el usuario sea efectiva para el monitor, deshabilite la identidad administrada asignada por el sistema.

   Para obtener más información sobre las identidades administradas en el monitor de base de datos, consulte Modificar identidad del monitor.

4. Elija un almacén de datos para el monitor.

   De manera predeterminada, la creación de un monitor también crea un clúster de Azure Data Explorer y agrega una base de datos en ese clúster como almacén de datos para los datos de supervisión recopilados.

   • De forma predeterminada, el nuevo clúster de Azure Data Explorer usa la SKU extrapequeña y optimizada para proceso. Esta es la SKU más económica que todavía proporciona un Acuerdo de Nivel de Servicio (SLA). Puede escalar este clúster más adelante según sea necesario.

   • O bien, puede usar una base de datos en un clúster de Azure Data Explorer existente, en un clúster de Azure Data Explorer gratuito o en Análisis en tiempo real.

     1. En la pestaña Almacén de datos, elija la opción Seleccionar un almacén de datos y seleccione Agregar.
     2. Seleccione una base de datos de Análisis en tiempo real o un clúster de Azure Data Explorer.
     3. Si usa un clúster de Azure Data Explorer existente, debe habilitar la ingesta de streaming.
     4. Cree una nueva base de datos o use una base de datos existente.

     Nota

     Cualquier base de datos existente que seleccione debe estar vacíao debe ser una base de datos que haya utilizado anteriormente como almacén de datos de un observador de base de datos. No se admite la selección de una base de datos que contenga los objetos no creados por el monitor de base de datos.

   • O bien, puede omitir la adición de un almacén de datos en este momento y agregarlo más adelante. Se requiere un almacén de datos para iniciar el monitor.

5. En la pestaña destinos de SQL, agregar uno o varios recursos de Azure SQL para supervisar. Puede omitir la adición de destinos SQL al crear el monitor y agregarlos más adelante. Debe agregar al menos un destino antes de iniciar el monitor.

6. En la pestaña Revisar y crear, revise la configuración del monitor y seleccione Crear. Si selecciona la opción predeterminada para crear un nuevo clúster de Azure Data Explorer, la implementación suele tardar entre 15 y 20 minutos. Si selecciona una base de datos en un clúster de Azure Data Explorer existente, en un clúster gratuito de Azure Data Explorer o en Análisis en tiempo real, la implementación suele tardar hasta cinco minutos.

7. Una vez completada la implementación, conceda al monitor acceso a los destinos de SQL.

8. También es posible que tenga que conceder al monitor acceso al almacén de datos.

   • El acceso a una base de datos en un clúster de Azure Data Explorer nuevo o existente se concede automáticamente cuando se crea el monitor si el usuario que crea el monitor es miembro del rol RBAC Propietario para el clúster.
   • Sin embargo, debe conceder acceso al almacén de datos mediante un comando KQL si selecciona una base de datos en:
     • Análisis en tiempo real en Microsoft Fabric.
     • Un clúster gratuito de Azure Data Explorer.

9. Crear y aprobar puntos de conexión privados administrados si desea usar una conectividad privada.

   • Si el acceso público en los destinos SQL, el almacén de datos y el almacén de claves está habilitado y desea usar la conectividad pública, asegúrese de que se cumplen todos los requisitos previos de conectividad pública.

Iniciar y detener un monitor

Cuando se crea un monitor, no se inicia automáticamente porque es posible que se requiera configuración adicional.

Para iniciar un monitor, debe tener:

• Un almacén de datos.
• Al menos un destino.
• Acceso al almacén de datos y destinos.
  • También se requiere acceso a un almacén de claves si se seleccionó la autenticación de SQL para cualquier destino.
• Ya sea privada o conectividad pública a destinos, almacén de claves (si usa la autenticación de SQL) y el almacén de datos.
  • Para usar la conectividad privada, cree puntos de conexión privados.

Una vez que un monitor está totalmente configurado, use el botón Iniciar de la página Información general para iniciar la recopilación de datos. En unos minutos, la nueva supervisión de datos aparece en el almacén de datos y en los paneles. Si no ve nuevos datos en un plazo de cinco minutos, consulte Solución de problemas.

Puede detener el monitor con el botón Detener si no necesita supervisar los recursos de Azure SQL durante algún tiempo.

Para reiniciar un monitor, deténgalo y vuelva a iniciarlo.

Modificación de un monitor

En Azure Portal, puede agregar o quitar destinos, crear o eliminar puntos de conexión privados, usar otro almacén de datos para un monitor existente o modificar la identidad administrada del monitor.

Nota

A menos que se indique lo contrario, los cambios realizados en la configuración del monitor serán efectivos después de detener y reiniciar el monitor.

Adición de destinos SQL a un monitor

Para habilitar la supervisión del monitor de base de datos para una base de datos de Azure SQL, un grupo elástico o instancia administrada de SQL, debe agregar este recurso como destino SQL.

1. Para agregar un destino, en la página destinos de SQL, seleccione Agregar.
2. Busque el recurso de Azure SQL que desea supervisar. Seleccione el tipo de recurso y la suscripción y, a continuación, seleccione el destino SQL en la lista de recursos. El destino SQL puede estar en cualquier suscripción dentro del mismo inquilino de Microsoft Entra ID que el monitor.
3. Para supervisar la réplica principal y una réplica secundaria de alta disponibilidad de una base de datos, un grupo elástico o una instancia administrada de SQL, agregue dos destinos SQL independientes para el mismo recurso y active la casilla Intención de lectura para uno de ellos. Del mismo modo, cree dos destinos SQL independientes para una réplica geográfica y su réplica secundaria de alta disponibilidad, si existe.
   • Al activar el cuadro Intención de lectura, solo se configura el destino SQL para la réplica secundaria de alta disponibilidad.
   • No active la casilla de Intención de lectura si desea supervisar solo la réplica principal o solo la réplica geográfica, o si no existe una réplica secundaria de alta disponibilidad para este recurso o si la característica de escalado horizontal de lectura está deshabilitada.

De manera predeterminada, el monitor de base de datos usa la autenticación de Microsoft Entra al conectarse a destinos SQL. Si desea que el monitor use la autenticación de SQL, active el cuadro Usar autenticación de SQL y escriba los detalles necesarios. Para obtener más información, consulte Configuración adicional para usar la autenticación de SQL.

Eliminación de destinos SQL de un monitor

Para quitar uno o varios destinos, abra la página destinos de SQL, seleccione los destinos que desea quitar en la lista y seleccione Eliminar.

Al quitar un destino, se detiene la supervisión de un recurso de Azure SQL una vez reiniciado el monitor, pero no se elimina el recurso real.

Si elimina un recurso de Azure SQL supervisado por el monitor de base de datos, también debe quitar el destino correspondiente. Dado que hay un límite en el número de destinos de SQL que un monitor puede tener, mantener destinos obsoletos puede impedir que agregue nuevos destinos.

Creación de un punto de conexión privado administrado

Debe crear puntos de conexión privados administrados si desea usar conectividad privada para la recopilación de datos de destinos SQL, para la ingesta en el almacén de datos y para conectarse a almacenes de claves. Si no crea puntos de conexión privados, el monitor de base de datos usa conectividad pública.

Nota

El monitor de base de datos requiere sus propios puntos de conexión privados administrados para conectarse a los recursos de Azure. Un monitor no puede usar ningún punto de conexión privado que ya exista para un servidor lógico de Azure SQL, una instancia administrada de SQL, un clúster de Azure Data Explorer o un almacén de claves.

Para crear un punto de conexión privado administrado para un monitor:

1. Si hay un bloqueo de solo lectura en el recurso, el grupo de recursos o la suscripción del recurso para el que va a crear un punto de conexión privado administrado, quite el bloqueo. Puede volver a agregar el bloqueo después de que el punto de conexión privado se haya creado correctamente.

2. Vaya a un monitor de base de datos en Azure Portal, abra la página Puntos de conexión privados administrados y seleccione Agregar.

3. Escriba un nombre para el punto de conexión privado.

4. Seleccione la suscripción del recurso de Azure para el que desea crear el punto de conexión privado.

5. En función del tipo de recurso para el que desea crear un punto de conexión privado, seleccione el Tipo de recurso y Subrecurso de destino de la siguiente manera:

   Recurso	Tipo de recurso	Recurso secundario de destino
   Servidor lógico	Microsoft.Sql/servers	sqlServer
   Instancia administrada de SQL	Microsoft.Sql/managedInstances	managedInstance
   Clúster de Azure Data Explorer	Microsoft.Kusto/clusters	cluster
   Almacén de claves	Microsoft.KeyVault/vaults	vault

6. Seleccione el recurso para el que desea crear un punto de conexión privado. Puede ser un servidor lógico de Azure SQL, una instancia administrada de SQL, un clúster de Azure Data Explorer o un almacén de claves.

   • La creación de un punto de conexión privado para un servidor lógico de Azure SQL Database permite la conectividad privada del monitor de bases de datos para todos los destinos de base de datos y grupo elástico en ese servidor.

7. Opcionalmente, escriba la descripción del punto de conexión privado. Esto puede ayudar al propietario del recurso a aprobar la solicitud.

8. Seleccione Crear. Puede tardar unos minutos en crear un punto de conexión privado. Se crea un punto de conexión privado una vez que cambia su estado de aprovisionamiento de Aceptado o En ejecución a Correcto. Actualice la vista para ver el estado de aprovisionamiento actual.

   Importante

   El punto de conexión privado se crea en el estado Pendiente. El propietario del recurso debe aprobar el punto de conexión privado para que el monitor de base de datos pueda usarlo para conectarse al recurso.

   Para permitir que los propietarios de recursos controlen la conectividad de red, los puntos de conexión privados del monitor de base de datos no se aprueban automáticamente.

9. El propietario del recurso debe aprobar la solicitud del punto de conexión privado.

   • En Azure Portal, el propietario del recurso puede buscar Private Link para abrir el Private Link Center. En Conexiones pendientes, busque el punto de conexión privado que creó, confirme su descripción y detalles y seleccione Aprobar.
   • También puede aprobar solicitudes de punto de conexión privado mediante la CLI de Azure.

Si un monitor ya se está ejecutando cuando se aprueba un punto de conexión privado, debe reiniciarse para empezar a usar la conectividad privada.

Sugerencia

Debe crear un punto de conexión privado adicional para el clúster de Azure Data Explorer si la conectividad pública del clúster está deshabilitada. Para obtener más información, consulte Conectividad privada con el almacén de datos.

Eliminación de un punto de conexión privado administrado

1. Si hay una eliminación o un bloqueo de solo lectura en el recurso, el grupo de recursos o la suscripción del recurso para el que va a eliminar un punto de conexión privado administrado, quite el bloqueo. Puede volver a agregar el bloqueo después de que el punto de conexión privado se haya eliminado correctamente.
2. En la página de Azure Portal del monitor de base de datos, abra la página Puntos de conexión privados administrados.
3. Seleccione los puntos de conexión privados que desea eliminar.
4. Seleccione Eliminar.

Al eliminar un punto de conexión privado administrado, se detiene la recopilación de datos de destinos SQL que usan este punto de conexión privado. Al eliminar el punto de conexión privado administrado para el clúster de Azure Data Explorer, se detiene la recopilación de datos para todos los destinos. Para reanudar la recopilación de datos, vuelva a crear el punto de conexión privado o habilite la conectividad pública y reinicie el monitor.

Cambiar el almacén de datos de un monitor

Un monitor solo puede tener un almacén de datos.

Para cambiar el almacén de datos actual, quite el almacén de datos existente y agregue un nuevo almacén de datos.

• Para quitar el almacén de datos actual, abra la página Almacén de datos, seleccione el almacén de datos de la cuadrícula y seleccione Eliminar.

  • Al quitar un almacén de datos no se elimina la base de datos del almacén de datos real en un clúster de Azure Data Explorer o en Análisis en tiempo real de Microsoft Fabric.
  • Para detener la recopilación de datos en un almacén de datos quitado, detenga el monitor.
  • Si quita un almacén de datos, debe agregar un nuevo almacén de datos para poder volver a iniciar el monitor.

• Para agregar un almacén de datos, seleccione Agregar en la página Almacén de datos y, a continuación, seleccione o cree una base de datos en un clúster de Azure Data Explorer o en Análisis en tiempo real.

  • La base de datos que seleccione debe estar vacía o debe ser una base de datos que haya usado anteriormente como almacén de datos del monitor de base de datos. No se admite la selección de una base de datos que contenga los objetos no creados por el monitor de base de datos.
  • Una vez que agregue un almacén de datos, debe conceder al monitor acceso para usarlo. Para obtener más información, consulte Conceder acceso al almacén de datos.
  • Una vez reiniciado el monitor, comienza a usar el nuevo almacén de datos.

Sugerencia

Si cambia el almacén de datos de un clúster de Azure Data Explorer de pago a un clúster de Azure Data Explorer gratuito, considere la posibilidad de detener o eliminar el clúster de pago si ya no lo necesita. Esto puede evitar costos innecesarios.

Modificar la identidad del monitor

Un monitor debe tener una identidad administrada para autenticarse en destinos de SQL, almacenes de claves y el almacén de datos. Puede usar una identidad administrada asignada por el sistema o asignada por el usuario. Para obtener más información sobre las identidades administradas en Azure, consulte ¿Qué son las identidades administradas para recursos de Azure?

Las consideraciones siguientes le ayudan a elegir el tipo de identidad administrada para un monitor:

• Asignada por el sistema

  • Habilitados de forma predeterminada cuando crea un monitor.
  • Siempre asociada a un único monitor.
  • Creado y eliminado con el monitor.
  • Si deshabilita una identidad asignada por el sistema para un monitor, se pierde cualquier acceso concedido a esa identidad. Al volver a habilitar la identidad asignada por el sistema para el mismo monitor, se crea una nueva identidad diferente con un identificador de objeto (entidad de seguridad) diferente. Debe conceder acceso a destinos de SQL, almacén de claves y el almacén de datos a esta nueva identidad.

• Asignada por el usuario

  • Solo está en vigor si la identidad asignada por el sistema está deshabilitada para el monitor.
  • La misma identidad asignada por el usuario se puede asignar a varios monitores para simplificar la administración de acceso, por ejemplo, al supervisar grandes estados de Azure SQL. En lugar de conceder acceso a las identidades asignadas por el sistema de varios monitores, se puede conceder acceso a una única identidad asignada por el usuario.
  • Para admitir la separación de tareas, la administración de identidades puede ser independiente de la administración del monitor. Un usuario diferente puede crear y conceder acceso a una identidad asignada por el usuario, antes o después de crear el monitor.
  • Por el contrario, cuando se elimina un monitor, la identidad asignada por el usuario y su acceso permanecen sin cambios. A continuación, se puede usar la misma identidad para un nuevo monitor.
  • No se admite la especificación de más de una identidad asignada por el usuario para un monitor.

Para modificar la identidad administrada de un monitor, abra la página Identidad de un monitor.

• Para usar una identidad asignada por el sistema, habilite el botón de alternancia identidad asignada por el sistema.

• Para usar una identidad asignada por el usuario, deshabilite el botón de alternancia identidad asignada por el sistema. Seleccione el botón Agregar para buscar y agregar una identidad asignada por el usuario existente.

  Para crear una nueva identidad administrada asignada por el usuario, consulte Crear una identidad administrada asignada por el usuario.

• Para quitar una identidad asignada por el usuario de un monitor, selecciónela en la lista y seleccione Quitar. Una vez que se quita una identidad asignada por el usuario, debe agregar una identidad asignada por el usuario diferente o habilitar la identidad asignada por el sistema.

  La identidad asignada por el usuario quitada no se elimina del inquilino de Microsoft Entra ID.

Seleccione el botón Guardar para guardar los cambios de identidad. No se pueden guardar los cambios de identidad si eso daría lugar a que el monitor no tenga ninguna identidad. No se admiten monitores sin una identidad administrada válida.

Sugerencia

Se recomienda que el nombre para mostrar de la identidad administrada del monitor sea único dentro del inquilino de Microsoft Entra ID. Puede elegir un nombre único al crear una identidad asignada por el usuario para monitores.

El nombre para mostrar de la identidad asignada por el sistema es el mismo que el nombre del monitor. Si usa la identidad asignada por el sistema, asegúrese de que el nombre del monitor sea único dentro del inquilino del Microsoft Entra ID.

Si el nombre para mostrar de la identidad administrada no es único, el script de T-SQL para conceder al monitor acceso a destinos SQL produce un error con el nombre para mostrar duplicado. Para obtener más información y para obtener una solución alternativa, consulte inicios de sesión y usuarios de Microsoft Entra con nombres para mostrar no únicos.

Poco después de guardar los cambios de identidad, el monitor se vuelve a conectar a destinos SQL, almacenes de claves (si se usan) y el almacén de datos mediante su identidad administrada actual.

Eliminación de un monitor

Si hay una eliminación o un bloqueo de solo lectura en el monitor, su grupo de recursos o su suscripción, quite el bloqueo. Del mismo modo, si hay un bloqueo en el recurso, el grupo de recursos o la suscripción del recurso para el que creó un punto de conexión privado administrado, quite el bloqueo. Puede volver a agregar los bloqueos después de que el observador se elimine correctamente.

Cuando se elimina un monitor que tiene habilitada su identidad administrada asignada por el sistema, también se elimina la identidad. Esto quita cualquier acceso que haya concedido a esta identidad. Si vuelve a crear el monitor más adelante, debe conceder acceso a la identidad administrada asignada por el sistema del nuevo monitor para autenticarse en cada recurso. Esto incluye:

• Destinos
• El almacén de datos
• Y el almacén de claves (si se usa)

Debe conceder acceso a un monitor recreado, incluso si usa el mismo nombre de monitor.

Al eliminar un monitor, los recursos de Azure a los que se hace referencia como destinos SQL y el almacén de datos no se eliminan. Conservará los datos de supervisión de SQL recopilados en el almacén de datos y podrá usar la misma base de datos de Azure Data Explorer o Análisis en tiempo real que el almacén de datos si crea un monitor más adelante.

Concesión de acceso a destinos SQL

Para permitir que un monitor recopile datos de supervisión de SQL, debe ejecutar un script de T-SQL que conceda al monitor permisos de SQL específicos y limitados.

• Para ejecutar el script en Azure SQL Database, necesita acceso de administrador del servidor al servidor lógico que contiene bases de datos y grupos elásticos que desea supervisar.

  • En Azure SQL Database, solo debe ejecutar el script una vez por servidor lógico para cada monitor que cree. Esto concede al monitor acceso a todas las bases de datos y grupos elásticos existentes y nuevos en ese servidor.

• Para ejecutar el script en Instancia administrada de Azure SQL, debe ser miembro del rol de servidor sysadmin o securityadmin, o bien tener el permiso CONTROL SERVER en SQL Managed Instance.

  • En Azure SQL Managed Instance, debe ejecutar el script en cada instancia que quiera supervisar.

1. Vaya al monitor en Azure Portal, seleccione destinos de SQL, seleccione uno de los vínculos Conceder acceso para abrir el script T-SQL y copiar el script. Asegúrese de elegir el vínculo correcto para el tipo de destino y el tipo de autenticación que desea usar.

   Importante

   El script de autenticación de Microsoft Entra en Azure Portal es específico de un monitor porque incluye el nombre de la identidad administrada del monitor. Para obtener una versión genérica de este script que puede personalizar para cada monitor, consulte Conceder acceso a destinos SQL con scripts T-SQL.

2. En SQL Server Management Studio o cualquier otra herramienta de cliente SQL, abra una nueva ventana de consulta y conéctela a la base de datos de master en un servidor lógico de Azure SQL que contenga el destino o a la base de datos master en un destino de instancia administrada de SQL.

3. Pegue y ejecute el script de T-SQL para conceder acceso al monitor. El script crea un inicio de sesión que usa el observador para conectarse y concede permisos específicos y limitados para recopilar datos de supervisión.

   1. Si usa un script de autenticación de Microsoft Entra y el monitor usa la identidad administrada asignada por el sistema, el monitor ya debe estar creado al ejecutar el script. Si el monitor va a usar una identidad administrada asignada por el usuario, puede ejecutar el script antes o después de que se cree el monitor.

   Debe estar conectado con la autenticación de Microsoft Entra al ejecutar los scripts de acceso de T-SQL que conceden acceso a una identidad administrada.

Si agrega nuevos destinos a un monitor de automatización más adelante, debe conceder acceso a estos destinos de manera similar, a menos que estos destinos estén en un servidor lógico en el que ya se haya concedido acceso.

Concesión de acceso a destinos SQL con scripts T-SQL

Hay diferentes scripts para la autenticación de Microsoft Entra y la autenticación de SQL, y para los destinos de Azure SQL Database y Azure SQL Managed Instance.

Importante

Use siempre los scripts proporcionados para conceder acceso al monitor de base de datos. Conceder acceso de otra manera puede bloquear la recopilación de datos. Para obtener más información, consulte Autorización de monitor.

Antes de ejecutar un script, reemplace todas las instancias de marcadores de posición que pueden estar presentes en el script, como login-name-placeholder y password-placeholder por los valores reales.

Concesión de acceso a los monitores autenticados de Microsoft Entra

SQL Database

Este script crea un inicio de sesión de autenticación de Microsoft Entra (anteriormente conocido como Azure Active Directory) en un servidor lógico de Azure SQL Database. El inicio de sesión se crea para la identidad administrada de un monitor. El script concede al monitor los permisos necesarios y suficientes para recopilar datos de supervisión de todas las bases de datos y grupos elásticos en el servidor lógico.

Si el monitor usa la identidad administrada asignada por el sistema, debe usar el nombre del monitor como nombre de inicio de sesión. Si el monitor usa una identidad administrada asignada por el usuario, debe usar el nombre del para mostrar de la identidad como nombre de inicio de sesión.

El script debe ejecutarse en la base de datos master en el servidor lógico. Debe iniciar sesión con un inicio de sesión de autenticación de Microsoft Entra que sea administrador del servidor.

CREATE LOGIN [identity-name-placeholder] FROM EXTERNAL PROVIDER;

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [identity-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [identity-name-placeholder];

SQL Managed Instance

Este script crea un inicio de sesión de autenticación de Microsoft Entra (anteriormente conocido como Azure Active Directory) en una instancia administrada de SQL. El inicio de sesión se crea para la identidad administrada de un monitor. El script concede al monitor los permisos necesarios y suficientes para recopilar datos de supervisión de la instancia.

Si el monitor usa la identidad administrada asignada por el sistema, debe usar el nombre del monitor como nombre de inicio de sesión. Si el monitor usa una identidad administrada asignada por el usuario, debe usar el nombre del para mostrar de la identidad como nombre de inicio de sesión.

El script debe ejecutarse en la base de datos master en la instancia administrada. Debe iniciar sesión con una autenticación de Microsoft Entra que sea miembro ya sea del rol de servidor sysadmin o securityadmin, o tenga el permiso CONTROL SERVER.

USE master;

CREATE LOGIN [identity-name-placeholder] FROM EXTERNAL PROVIDER;

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [identity-name-placeholder];

USE msdb;

CREATE USER [identity-name-placeholder] FOR LOGIN [identity-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [identity-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [identity-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [identity-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [identity-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [identity-name-placeholder];
GRANT SELECT ON dbo.backupset TO [identity-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [identity-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [identity-name-placeholder];

Concesión de acceso a monitores autenticados de SQL

Se requieren pasos adicionales al usar la autenticación de SQL, consulte Configuración adicional para usar la autenticación de SQL.

SQL Database

Este script crea un inicio de sesión de autenticación de SQL en un servidor lógico de Azure SQL Database. Concede al inicio de sesión los permisos necesarios y suficientes para recopilar datos de supervisión de todas las bases de datos y grupos elásticos en ese servidor lógico.

El script debe ejecutarse en la base de datos de master en el servidor lógico mediante un inicio de sesión que sea un administrador del servidor lógico.

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

ALTER SERVER ROLE ##MS_ServerPerformanceStateReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DefinitionReader## ADD MEMBER [login-name-placeholder];
ALTER SERVER ROLE ##MS_DatabaseConnector## ADD MEMBER [login-name-placeholder];

SQL Managed Instance

Este script crea un inicio de sesión de autenticación de SQL en una instancia administrada de SQL. Concede al inicio de sesión los permisos necesarios y suficientes para recopilar datos de supervisión de la instancia.

El script debe ejecutarse en la base de datos master de la instancia, mediante un inicio de sesión que sea miembro de los roles de servidor sysadmin o securityadmin, o que tenga el permiso de CONTROL SERVER.

USE master;

CREATE LOGIN [login-name-placeholder] WITH PASSWORD = 'password-placeholder';

GRANT CONNECT SQL, CONNECT ANY DATABASE, VIEW ANY DATABASE, VIEW ANY DEFINITION, VIEW SERVER PERFORMANCE STATE TO [login-name-placeholder];

USE msdb;

CREATE USER [login-name-placeholder] FOR LOGIN [login-name-placeholder];

GRANT SELECT ON dbo.sysjobactivity TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobs TO [login-name-placeholder];
GRANT SELECT ON dbo.syssessions TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobhistory TO [login-name-placeholder];
GRANT SELECT ON dbo.sysjobsteps TO [login-name-placeholder];
GRANT SELECT ON dbo.syscategories TO [login-name-placeholder];
GRANT SELECT ON dbo.sysoperators TO [login-name-placeholder];
GRANT SELECT ON dbo.suspect_pages TO [login-name-placeholder];
GRANT SELECT ON dbo.backupset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediaset TO [login-name-placeholder];
GRANT SELECT ON dbo.backupmediafamily TO [login-name-placeholder];

Configuración adicional para usar la autenticación de SQL

Para almacenar las credenciales de autenticación de forma segura, el uso de la autenticación de SQL en el monitor de base de datos requiere una configuración adicional.

Sugerencia

Para una configuración más segura, más sencilla y menos propensa a errores, se recomienda habilitar la autenticación de Microsoft Entra para los recursos de Azure SQL y usarla en lugar de la autenticación de SQL.

Para configurar el monitor de base de datos para conectarse a un destino mediante la autenticación de SQL, siga estos pasos:

1. Cree un almacén en Azure Key Vault o identifique un almacén existente que pueda usar. El almacén debe usar el modelo de permisos RBAC. El modelo de permisos de RBAC es el valor predeterminado para los nuevos almacenes. Si desea usar un almacén existente, asegúrese de que no está configurado para usar el modelo de directiva de acceso anterior.

   Si desea usar la conectividad privada al almacén, cree un punto de conexión privado en la página Puntos de conexión privados administrados. Seleccione Microsoft.KeyVault/vaults como Tipo de recurso y vault como Subrecurso de destino. Asegúrese de que el punto de conexión privado está aprobado antes de iniciar el monitor.

   Si desea usar la conectividad pública, el almacén debe permitir el acceso público desde todas las redes. No se admite la restricción de la conectividad del almacén público a redes específicas en el monitor de base de datos.

2. Cree un inicio de sesión de autenticación de SQL en cada servidor lógico de Azure SQL o instancia administrada que quiera supervisar y conceda los permisos limitados específicos mediante scripts de acceso proporcionados. En el script, reemplace los marcadores de posición de nombre de inicio de sesión y contraseña por los valores reales. Utilice una contraseña segura.

3. En el almacén, cree dos secretos: un secreto para el nombre de inicio de sesión y un secreto independiente para la contraseña. Use los nombres válidos como nombre del secreto y escriba el nombre de inicio de sesión y la contraseña que usó en el script T-SQL como valor de secreto para cada secreto.

   Por ejemplo, los nombres de los dos secretos pueden ser database-watcher-login-name y database-watcher-password. Los valores secretos serían un nombre de inicio de sesión y una contraseña segura.

   Para crear secretos, debe ser miembro del rol RBAC Administrador de secretos de Key Vault.

4. Agregue un de destino de SQL a un monitor. Al agregar el destino, active la casilla Usar autenticación de SQL y seleccione el almacén donde se almacenan el nombre de inicio de sesión y los secretos de contraseña. Escriba los nombres secretos para el nombre de inicio de sesión y la contraseña en los campos correspondientes.

   Al agregar un destino SQL, no escriba el nombre de inicio de sesión y la contraseña reales. Con el ejemplo anterior, escribiría los nombres de secretodatabase-watcher-login-name y database-watcher-password.

5. Al agregar un destino SQL en Azure Portal, a la identidad administrada del monitor se le concede automáticamente el acceso necesario a los secretos del almacén de claves si el usuario actual es miembro del rol de Propietarios o el rol de Administrador de acceso de usuario para el almacén de claves. De lo contrario, siga el paso siguiente para conceder manualmente el acceso necesario.

6. En la página Control de acceso (IAM) de cada secreto, agregue una asignación de roles para la identidad administrada del monitor en el rol RBAC Usuario de secretos de Key Vault. Para seguir el principio de privilegios mínimos, agregue esta asignación de roles para cada secreto, en lugar de para todo el almacén. La página Control de acceso (IAM) solo aparece si el almacén está configurado para usar el modelo de permisos RBAC.

Si desea usar credenciales de autenticación de SQL diferentes en distintos destinos de SQL, debe crear varios pares de secretos. Puede usar el mismo almacén o almacenes diferentes para almacenar los secretos de cada destino de SQL.

Nota

Si actualiza el valor secreto de un nombre de inicio de sesión o una contraseña en el almacén de claves mientras se ejecuta un monitor, el monitor se vuelve a conectar a los destinos mediante las nuevas credenciales de autenticación de SQL en un plazo de 15 minutos. Si desea empezar a usar las nuevas credenciales inmediatamente, detenga y reinicie el monitor.

Concesión de acceso al almacén de datos

Para crear y administrar el esquema de base de datos en el almacén de datos y para ingerir datos de supervisión, el monitor de base de datos requiere la pertenencia al rol RBAC Administrador en la base de datos del almacén de datos en un clúster de Azure Data Explorer o en Análisis en tiempo real. El monitor de base de datos no requiere acceso de nivel de clúster al clúster de Azure Data Explorer ni ningún acceso a otras bases de datos que puedan existir en el mismo clúster.

Si usa una base de datos en un clúster de Azure Data Explorer como almacén de datos, este acceso se concede automáticamente si es miembro del rol RBAC Propietario para el clúster. De lo contrario, se debe conceder acceso como se describe en esta sección.

Si usa una base de datos en Análisis en tiempo real o en un clúster gratuito de Azure Data Explorer, debe conceder acceso mediante KQL.

Concesión de acceso a una base de datos de Azure Data Explorer mediante Azure Portal

Puede usar Azure Portal para conceder acceso a una base de datos en el clúster de Azure Data Explorer:

1. Para una base de datos en un clúster de Azure Data Explorer, en el menú de recursos de Seguridad y redes, seleccione Permisos. No use la página Permisos del clúster.
2. Seleccione Agregar y seleccione Administrador.
3. En la página Nuevas entidades de seguridad, seleccione Aplicaciones empresariales. Si el monitor usa la identidad administrada asignada por el sistema, escriba el nombre del monitor en el cuadro Buscar. Si el monitor usa una identidad administrada asignada por el usuario, escriba el nombre para mostrar de la identidad en el cuadro Buscar.
4. Seleccione la aplicación empresarial para la identidad administrada del monitor.

Concesión de acceso a una base de datos de Azure Data Explorer mediante KQL

En lugar de usar Azure Portal, también puede conceder acceso a la base de datos mediante un comando KQL. Use este método para conceder acceso a una base de datos en Análisis en tiempo real o en un clúster gratuito de Azure Data Explorer.

1. Conéctese a una base de datos en el clúster de Azure Data Explorer mediante Kusto Explorer o la interfaz de usuario web Azure Data Explorer.

2. En el siguiente comando KQL de ejemplo, reemplace los tres marcadores de posición como se indica en la tabla:

   .add database [adx-database-name-placeholder] admins ('aadapp=identity-principal-id-placeholder;tenant-primary-domain-placeholder');
   

   Marcador de posición	Reemplazo
   adx-database-name-placeholder	Nombre de una base de datos en un clúster de Azure Data Explorer o en Análisis en tiempo real.
   identity-principal-id-placeholder	El valor del identificador de la entidad de seguridad de una identidad administrada (un GUID), que se encuentra en la página Identidad del monitor. Si la identidad asignada por el sistema está habilitada, use su valor de identificador de entidad de seguridad. De lo contrario, usa el valor de identificador de la entidad de seguridad de la identidad asignada por el usuario.
   tenant-primary-domain-placeholder	Nombre de dominio del inquilino de Microsoft Entra ID de la identidad administrada del monitor. Busque esto en la página Información general de Microsoft Entra ID en Azure Portal. En lugar del dominio principal del inquilino, también se puede usar el valor GUID del ID de inquilino. Esta parte del comando es necesaria si usa una base de datos en Real-Time Analytics o en un clúster gratuito de Azure Data Explorer. El nombre de dominio o ID de inquilino (y el punto y coma anterior) se puede omitir para una base de datos en un clúster de Azure Data Explorer porque el clúster siempre está en el mismo inquilino de Microsoft Entra ID que la identidad administrada del monitor de automatización.

   Por ejemplo:

   .add database [watcher_data_store] admins ('aadapp=9da7bf9d-3098-46b4-bd9d-3b772c274931;contoso.com');
   

Para obtener más información, consulte Control de acceso basado en rol de Kusto.

Concesión de acceso a usuarios y grupos al almacén de datos

Puede usar Azure Portal o un comando KQL para conceder a los usuarios y grupos acceso a una base de datos en un clúster de Azure Data Explorer o en Análisis en tiempo real. Para conceder acceso, debe ser miembro del rol RBAC Administrador RBAC en la base de datos.

Use un comando KQL para conceder acceso a una base de datos en el clúster gratuito de Azure Data Explorer o en Análisis en tiempo real. Para seguir el principio de privilegios mínimos, se recomienda no agregar usuarios y grupos a ningún rol RBAC que no sea Visor de manera predeterminada.

Importante

Considere detenidamente los requisitos de privacidad y seguridad de los datos al conceder acceso para ver los datos de supervisión de SQL recopilados por el monitor de base de datos.

Aunque el monitor de base de datos no tiene la capacidad de recopilar datos almacenados en tablas de usuario en las bases de datos SQL, ciertos conjuntos de datos, como Sesiones activas, Metadatos de índice, Índices que faltan, Estadísticas en tiempo de ejecución de consultas, Estadísticas de espera de consulta, Estadísticas de sesión y Metadatos de tabla puede contener datos potencialmente confidenciales, como nombres de tabla e índice, texto de consulta, valores de parámetros de consulta, nombres de inicio de sesión, etc.

Al conceder acceso de vista al almacén de datos a un usuario que no tiene acceso para ver estos datos en una base de datos SQL, es posible que les permita ver datos confidenciales que no podrían ver en caso contrario.

Concesión de acceso al almacén de datos mediante Azure Portal

Puede usar Azure Portal para conceder a los usuarios y grupos acceso a una base de datos en el clúster de Azure Data Explorer:

1. Para una base de datos en un clúster de Azure Data Explorer, en el menú de recursos de Seguridad y redes, seleccione Permisos. No use la página Permisos del clúster.
2. Seleccione Agregar y seleccione Visores.
3. En la página Nuevas entidades de seguridad, escriba el nombre del usuario o grupo en el cuadro Buscar.
4. Seleccione el usuario o grupo.

Concesión de acceso al almacén de datos mediante KQL

En lugar de usar Azure Portal, también puede conceder a los usuarios y grupos acceso a la base de datos mediante un comando KQL. En el ejemplo siguiente, los comandos KQL conceden acceso de lectura de datos al usuario mary@contoso.com y al grupo SQLMonitoringUsers@contoso.com en un inquilino de Microsoft Entra ID con un valor de identificador de inquilino específico:

.add database [watcher_data_store] viewers ('aaduser=mary@contoso.com');

.add database [watcher_data_store] viewers ('aadgroup=SQLMonitoringUsers@contoso.com;8537e70e-7fb8-43d3-aac5-8b30fb3dcc4c');

Para obtener más información, consulte Control de acceso basado en rol de Kusto.

Para conceder acceso al almacén de datos a usuarios y grupos de otro inquilino, debe habilitar la autenticación entre inquilinos en el clúster de Azure Data Explorer. Para obtener más información, consulte Permitir consultas y comandos entre inquilinos.

Sugerencia

Para permitir que conceda acceso a usuarios y grupos en el inquilino de Microsoft Entra ID, la autenticación entre inquilinos está habilitada en Análisis en tiempo real y en clústeres gratuitos de Azure Data Explorer.

Administración del almacén de datos

En esta sección se describe cómo administrar el almacén de datos de supervisión, incluido el escalado, la retención de datos y otra configuración. Las consideraciones de escalado de clústeres de esta sección son pertinentes si usa una base de datos en el clúster de Azure Data Explorer. Si usa una base de datos en Análisis en tiempo real en Fabric, el escalado se administra automáticamente.

Escalado del clúster de Azure Data Explorer

Puede escalar el clúster de Azure Data Explorer según sea necesario. Por ejemplo, puede reducir verticalmente el clúster a la SKU extrapequeña, desarrollo y pruebas, si no se requiere un acuerdo de nivel de servicio (SLA) y si el rendimiento de la ingesta de datos y consultas sigue siendo aceptable.

Para muchas implementaciones de monitores de bases de datos, la SKU de clúster de 2 instancias extrapequeña y optimizada para proceso será suficiente indefinidamente. En algunos casos, en función de los cambios de configuración y carga de trabajo a lo largo del tiempo, es posible que tenga que escalar el clúster para garantizar un rendimiento adecuado de las consultas y mantener una latencia de ingesta de datos baja.

Azure Data Explorer admite escalado vertical y horizontal de clústeres. Con el escalado vertical, cambia la SKU del clúster, que cambia el número de vCPU, memoria y caché por instancia (nodo). Con el escalado horizontal, la SKU sigue siendo la misma, pero el número de instancias del clúster aumenta o disminuye.

Debe escalar el clúster (horizontalmente) o hacia arriba (verticalmente) si observa uno o varios de los síntomas siguientes:

• El rendimiento de las consultas ad hoc o del panel es demasiado lento.
• Ejecutará muchas consultas simultáneas en el clúster y observará errores de limitación.
• La latencia de ingesta de datos se vuelve constantemente mayor que aceptable.

En general, no es necesario escalar el clúster a medida que aumenta la cantidad de datos del almacén de datos a lo largo del tiempo. Esto se debe a que las consultas de panel y las consultas analíticas más comunes solo usan los datos más recientes, que se almacenan en caché en el almacenamiento SSD local en los nodos del clúster.

Sin embargo, si ejecuta consultas analíticas que abarcan intervalos de tiempo más largos, podrían ser más lentas a lo largo del tiempo a medida que aumenta la cantidad total de datos recopilados y ya no encaja en el almacenamiento SSD local. Es posible que sea necesario escalar el clúster para mantener el rendimiento adecuado de las consultas en ese caso.

• Si necesita escalar el clúster, se recomienda escalarlo horizontalmente primero para aumentar el número de instancias. Esto mantiene el clúster disponible para las consultas y la ingesta durante el proceso de escalado.

  • Puede habilitar el escalado automático optimizado para reducir o aumentar automáticamente el número de instancias en respuesta a los cambios en la carga de trabajo o a las tendencias estacionales.

• Es posible que, incluso después de escalar horizontalmente el clúster, algunas consultas todavía no funcionan según lo previsto. Esto puede ocurrir si el rendimiento de las consultas está enlazado por los recursos disponibles en una instancia (nodo) del clúster. En ese caso, escale el clúster verticalmente.

  • El escalado vertical del clúster tarda varios minutos. Durante ese proceso, hay un período de tiempo de inactividad, que puede detener la recopilación de datos por parte del monitor. Si esto sucede, detenga y reinicie el monitor una vez completada la operación de escalado.

Clúster gratuito de Azure Data Explorer

El clúster gratuito de Azure Data Explorer tiene ciertos límites de capacidad, incluido un límite de capacidad de almacenamiento en los datos originales sin comprimir. No se puede escalar un clúster gratuito de Azure Data Explorer para aumentar su capacidad de proceso o almacenamiento. Cuando el clúster está cerca de alcanzar su capacidad de almacenamiento o está al máximo de capacidad, aparece un mensaje de advertencia en la página del clúster gratuito.

Si alcanza la capacidad de almacenamiento, no se ingieren nuevos datos de supervisión, pero los datos existentes permanecen accesibles en los paneles del monitor de base de datos y se pueden analizar mediante consultas KQL o SQL.

Si observa que las especificaciones del clúster gratuito no son suficientes para sus requisitos, puede actualizar a un clúster completo de Azure Data Explorer. La actualización conserva todos los datos recopilados.

Para asegurarse de que el monitor sigue funcionando después de la actualización, debe seguir estos pasos:

1. Detener el monitor de automatización.
2. Siga los pasos para actualizar a un clúster completo de Azure Data Explorer y espere a que se complete la actualización.
3. Cambiar el almacén de datos del observador, seleccionando el clúster y la base de datos actualizados de Azure Data Explorer.
4. Iniciar el monitor de automatización.

Para seguir usando el clúster gratuito de Azure Data Explorer, administre la retención de datos para eliminar los datos más antiguos automáticamente y liberar espacio para los nuevos datos. Una vez disponible el espacio de almacenamiento, es posible que tenga que detener y reiniciar el monitor para reanudar la recopilación de datos.

Administración de la retención de datos

Si no necesita datos más antiguos, puede configurar directivas de retención de datos para purgarla automáticamente. De manera predeterminada, la retención de datos se establece en 365 días en una nueva base de datos en un clúster de Azure Data Explorer o en Análisis en tiempo real.

• Puede reducir el período de retención de datos en el nivel de base de datos o para tablas individuales en la base de datos.
• También puede aumentar la retención si necesita almacenar los datos de supervisión durante más de un año. No hay ningún límite superior en el período de retención de datos.
• Si configura diferentes períodos de retención de datos para tablas diferentes, es posible que los paneles no funcionen según lo previsto para los intervalos de tiempo anteriores. Esto puede ocurrir si los datos siguen presentes en algunas tablas, pero ya se purgan en otras tablas durante el mismo intervalo de tiempo.

La cantidad de datos de supervisión de SQL que se ingieren en el almacén de datos depende de las cargas de trabajo de SQL y del tamaño del estado de Azure SQL. Puede usar la siguiente consulta de KQL para ver la cantidad media de datos ingeridos al día, calcular el consumo de almacenamiento a lo largo del tiempo y administrar las directivas de retención de datos.

.show database extents
| summarize OriginalSize = sum(OriginalSize),
            CompressedSize = sum(CompressedSize)
            by bin(MinCreatedOn, 1d)
| summarize DailyAverageOriginal = format_bytes(avg(OriginalSize)),
            DailyAverageCompressed = format_bytes(avg(CompressedSize));

Cambios de esquema y acceso en el almacén de datos del monitor de base de datos

Con el tiempo, Microsoft podría introducir un nuevos conjuntos de datos de monitores de base de datos o expandir los conjuntos de datos existentes. Esto significa que las nuevas tablas del almacén de datos o las nuevas columnas de las tablas existentes se pueden agregar automáticamente.

Para ello, la identidad administrada actual de un monitor de base de datos debe ser miembro del rol RBAC Administradores en el almacén de datos. Si se revoca esta pertenencia de roles o se reemplaza por la pertenencia a cualquier otro rol RBAC, se puede afectar a la recopilación de datos del monitor de base de datos y la administración de esquemas, y no se admite.

Del mismo modo, no se admite la creación de objetos nuevos como tablas, tablas externas, vistas materializadas, funciones, etc. en el almacén de datos del monitor de base de datos. Puede usar consultas entre clústeres y entre bases de datos para consultar datos en el almacén de datos desde otros clústeres de Azure Data Explorer o desde otras bases de datos del mismo clúster.

Importante

Si cambia el acceso del monitor de base de datos a su almacén de datos o realiza cambios de configuración o esquema de base de datos que afectan a la ingesta de datos, es posible que tenga que cambiar el almacén de datos para ese monitor a una nueva base de datos vacía y conceder al monitor acceso a esta nueva base de datos para reanudar la recopilación de datos y revertir a una configuración admitida.

Clústeres detenidos de Azure Data Explorer

Se puede detener un clúster de Azure Data Explorer, por ejemplo, para ahorrar costos. De forma predeterminada, se detiene automáticamente un clúster de Azure Data Explorer creado en Azure Portal después de varios días de inactividad. Por ejemplo, esto puede ocurrir si detiene el monitor que ingiere datos en la única base de datos del clúster y no ejecuta ninguna consulta en esta base de datos.

Si usa la opción predeterminada para crear un nuevo clúster de Azure Data Explorer al crear un nuevo monitor, el comportamiento de detención automática está deshabilitado para permitir la recopilación de datos ininterrumpida.

Si se detiene el clúster, también se detiene la recopilación de datos del monitor de base de datos. Para reanudar la recopilación de datos, debe iniciar el clúster. Una vez que el clúster se esté ejecutando, reinicie el monitor.

Puede deshabilitar el comportamiento de detención automática si desea que el clúster permanezca disponible incluso cuando esté inactivo. Esto puede aumentar el costo del clúster.

Ingesta de streaming

El monitor de base de datos requiere que el clúster de Azure Data Explorer que contiene la base de datos del almacén de datos tenga habilitada la ingesta de streaming. La ingesta de streaming se habilita automáticamente para el nuevo clúster de Azure Data Explorer creado al crear un nuevo monitor. También está habilitado en Análisis en tiempo real y en el clúster gratuito de Azure Data Explorer.

Si desea usar un clúster de Azure Data Explorer existente, asegúrese de habilitar primero la ingesta de streaming. Esto tarda unos minutos y reinicia el clúster.

Conectividad privada con el almacén de datos

Si el acceso público en un clúster de Azure Data Explorer está deshabilitado, debe crear un punto de conexión privado para conectarse al clúster desde el explorador y ver los datos de supervisión de SQL en los paneles o consultar los datos directamente. Este punto de conexión privado se suma al punto de conexión privado administrado creado para permitir que el monitor ingiere datos de supervisión en una base de datos del clúster de Azure Data Explorer.

• Si se conecta a un clúster de Azure Data Explorer desde una máquina virtual de Azure, cree un punto de conexión privado para el clúster de Azure Data Explorer en la red virtual de Azure donde se implementa la máquina virtual de Azure.

• Si se conecta a un clúster de Azure Data Explorer desde un equipo local, puede hacer lo siguiente:

  1. Use Azure VPN Gateway o Azure ExpressRoute para establecer una conexión privada desde la red local a una red virtual de Azure.
  2. Cree un punto de conexión privado para el clúster de Azure Data Explorer en la red virtual de Azure donde finaliza la conexión VPN o ExpressRoute, o en otra red virtual de Azure accesible por el tráfico desde el equipo local.
  3. Configure un DNS para un punto de conexión privado.

La conectividad privada no está disponible para clústeres gratuitos de Azure Data Explorer o para Análisis en tiempo real en Microsoft Fabric.

Supervisión de grandes patrimonios

Para supervisar un patrimonio grande de Azure SQL, es posible que tenga que crear varios monitores.

Cada monitor requiere una base de datos en un clúster de Azure Data Explorer o en Análisis en tiempo real como almacén de datos. Los monitores que cree pueden usar una base de datos única como almacén de datos común o bases de datos independientes como almacenes de datos independientes. Las consideraciones siguientes pueden ayudarle a elegir un diseño óptimo para sus escenarios y requisitos de supervisión.

Consideraciones para un almacén de datos común:

• Hay una vista de un solo panel de su patrimonio de Azure SQL.
• Los paneles de cualquier monitor muestran todos los datos del almacén de datos, incluso si otros monitores recopilan los datos.
• Los usuarios con acceso al almacén de datos tienen acceso a los datos de supervisión de todo el patrimonio de Azure SQL.

Consideraciones para almacenes de datos independientes:

• Los subconjuntos del patrimonio de Azure SQL se supervisan de forma independiente. Los paneles del monitor de base de datos de Azure Portal siempre muestran los datos de un único almacén de datos.
• Los usuarios con acceso a varios almacenes de datos pueden usar consultas KQL entre clústeres o entre bases de datos para acceder a los datos de supervisión en varios almacenes de datos mediante una sola consulta.
• Dado que el acceso a datos en Azure Data Explorer y en Análisis en tiempo real se administra por base de datos, puede administrar el acceso a los datos de supervisión de los subconjuntos de su patrimonio de forma granular.
• Puede colocar varias bases de datos en el mismo clúster de Azure Data Explorer para compartir recursos de clúster y ahorrar costos, a la vez que mantiene los datos aislados en cada base de datos.
• Si necesita una separación completa de entornos, incluido el acceso de red a clústeres de Azure Data Explorer, puede colocar bases de datos diferentes en distintos clústeres.

Contenido relacionado

• Inicio rápido: Creación de un monitor de base de datos para supervisar Azure SQL (versión preliminar)
• Supervisión de cargas de trabajo de Azure SQL con el monitor de base de datos (versión preliminar)
• Monitor de base de datos para la recopilación de datos y conjuntos de datos (versión preliminar)
• Análisis de datos de supervisión de monitor de base de datos (versión preliminar)
• alertas del monitor de base de datos (versión preliminar)
• Preguntas más frecuentes sobre el monitor de base de datos