Pular para o conteúdo principal

Laboratório Técnico: Configure log settings in Azure Monitor

Questões

Questão 1 — Múltipla Escolha

Um administrador precisa garantir que os logs de diagnóstico de um Azure Key Vault sejam enviados simultaneamente para um Log Analytics Workspace e para uma Storage Account, com retenção de 90 dias na Storage Account. Qual afirmação descreve corretamente o comportamento esperado ao configurar o Diagnostic Setting?

A) É necessário criar dois Diagnostic Settings separados, pois cada destino exige uma configuração independente.

B) Um único Diagnostic Setting pode enviar logs para múltiplos destinos ao mesmo tempo, incluindo Log Analytics Workspace, Storage Account e Event Hub.

C) A retenção de 90 dias é configurada dentro do Log Analytics Workspace e se aplica automaticamente à Storage Account vinculada.

D) O envio para Storage Account exige que o Log Analytics Workspace esteja na mesma região que o Key Vault.

Questão 2 — Cenário Técnico

Um administrador configura o seguinte Diagnostic Setting para uma máquina virtual:

{
  "logs": [
    { "category": "Administrative", "enabled": true },
    { "category": "Security", "enabled": false }
  ],
  "metrics": [
    { "category": "AllMetrics", "enabled": true, "retentionPolicy": { "days": 30 } }
  ],
  "storageAccountId": "/subscriptions/.../storageAccounts/myaccount"
}

Após 45 dias, o administrador percebe que logs da categoria Security estão ausentes, mas eram esperados por uma auditoria interna. Qual é a causa direta do problema?

A) A Storage Account não suporta logs da categoria Security para máquinas virtuais.

B) A categoria Security está explicitamente desabilitada no Diagnostic Setting configurado.

C) O período de retenção de 30 dias excluiu automaticamente os logs de Security antes da auditoria.

D) Logs de Security exigem um Event Hub como destino obrigatório e não podem ser enviados para Storage Account.

Questão 3 — Verdadeiro ou Falso

Ao configurar um Diagnostic Setting em um recurso do Azure, é possível habilitar categorias de log individuais de forma seletiva, mas todas as métricas habilitadas compartilham obrigatoriamente a mesma política de retenção definida no nível do Diagnostic Setting.

Questão 4 — Cenário Técnico

Uma equipe de operações precisa correlacionar dados de desempenho de múltiplos recursos (VMs, App Services e SQL Databases) em um único painel no Azure Monitor. Os recursos estão distribuídos em três resource groups diferentes. O analista propõe criar um Diagnostic Setting por recurso apontando para o mesmo Log Analytics Workspace. Um colega sugere que seria mais eficiente usar um único Diagnostic Setting no nível da Subscription. Qual abordagem está tecnicamente correta para atingir o objetivo?

A) Ambas as abordagens são equivalentes; a escolha depende apenas de preferência administrativa.

B) O Diagnostic Setting no nível da Subscription captura apenas logs de atividade (Activity Log), não logs de diagnóstico de recursos individuais; portanto, a abordagem por recurso é a correta para dados de desempenho.

C) O Diagnostic Setting no nível da Subscription propaga automaticamente configurações para todos os recursos filhos, incluindo métricas de desempenho.

D) Logs de desempenho de VMs não podem ser enviados para Log Analytics Workspace; exigem Azure Monitor Agent com Data Collection Rules.

Questão 5 — Múltipla Escolha

Um administrador precisa configurar a retenção de logs no Log Analytics Workspace para 180 dias, mas o portal exibe o valor mínimo configurável como 30 dias e o máximo como 730 dias. Após definir 180 dias no Workspace, ele percebe que consultas a dados com mais de 90 dias retornam resultados vazios. Qual é a explicação mais provável?

A) O Log Analytics Workspace tem um limite operacional de 90 dias independentemente da retenção configurada.

B) Os logs foram enviados para uma Storage Account com política de retenção de 90 dias, e o Workspace está consultando a Storage Account como fonte primária.

C) A retenção configurada no Workspace se aplica apenas a novos dados ingeridos após a alteração; dados anteriores seguem a política vigente no momento da ingestão.

D) O plano de preços (SKU) do Workspace pode estar limitando a retenção efetiva a 90 dias, sobrepondo a configuração manual de 180 dias.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Um único Diagnostic Setting suporta nativamente múltiplos destinos simultâneos: Log Analytics Workspace, Storage Account e Event Hub. Não é necessário criar configurações separadas por destino.

  • A alternativa A representa um equívoco comum: administradores que migraram de ferramentas legadas frequentemente assumem que cada destino exige configuração independente, o que não se aplica ao Azure Monitor.
  • A alternativa C confunde o escopo da política de retenção: a retenção na Storage Account é configurada diretamente no Diagnostic Setting (campo retentionPolicy dentro do bloco do destino Storage), não herdada do Workspace.
  • A alternativa D é um distrator plausível, mas a localização geográfica dos recursos não é um requisito para vincular destinos de diagnóstico; restrições de retenção de dados por compliance são tratadas separadamente.

Gabarito — Questão 2

Resposta: B

O bloco JSON apresentado define "enabled": false explicitamente para a categoria Security. Isso significa que, desde a criação do Diagnostic Setting, nenhum log dessa categoria foi coletado ou enviado ao destino configurado.

  • A alternativa C é o distrator mais perigoso: o período de retenção de 30 dias afeta dados já coletados, mas como Security nunca foi habilitado, não há dados para expirar. Confundir ausência de coleta com expiração de retenção é um erro operacional grave em auditorias.
  • A alternativa A é falsa: Storage Accounts suportam logs de Security para VMs.
  • A alternativa D é falsa: Event Hub não é um destino obrigatório para nenhuma categoria de log específica; é uma opção de destino como qualquer outro.

Gabarito — Questão 3

Resposta: Falso

A afirmação é falsa. No Azure Monitor, é possível configurar políticas de retenção individuais por categoria de métrica dentro de um mesmo Diagnostic Setting, especialmente quando o destino é uma Storage Account. Cada entrada no array metrics pode ter seu próprio bloco retentionPolicy com valores distintos de dias.

O ponto não óbvio aqui é que a retenção granular por categoria se aplica ao destino Storage Account. Para o Log Analytics Workspace, a retenção é gerenciada no nível do Workspace ou por tabela (Table-level retention), não dentro do Diagnostic Setting em si. Portanto, a afirmação de que há uma política de retenção única e obrigatória compartilhada por todas as métricas é incorreta em termos de arquitetura do Diagnostic Setting.

Gabarito — Questão 4

Resposta: B

O Diagnostic Setting no nível da Subscription é projetado exclusivamente para capturar o Activity Log (eventos de controle e gerenciamento da subscription), não logs de diagnóstico ou métricas de desempenho de recursos individuais. Para coletar dados de desempenho de VMs, App Services e SQL Databases, é necessário configurar um Diagnostic Setting em cada recurso individualmente.

  • A alternativa A está errada porque as abordagens não são equivalentes: produzem conjuntos de dados fundamentalmente diferentes.
  • A alternativa C descreve um comportamento que não existe no Azure Monitor atual; não há propagação automática de Diagnostic Settings de Subscription para recursos filhos.
  • A alternativa D é parcialmente verdadeira (Azure Monitor Agent com DCR é a abordagem recomendada para coleta avançada de métricas de SO em VMs), mas não invalida a possibilidade de enviar métricas de plataforma de VMs via Diagnostic Settings para Log Analytics Workspace. Como distrator, ela explora conhecimento correto em contexto incorreto.

Gabarito — Questão 5

Resposta: D

O SKU (plano de preços) do Log Analytics Workspace determina o teto efetivo de retenção. Workspaces no plano Free têm retenção limitada a 7 dias, independentemente do valor configurado. Workspaces em planos pagos permitem até 730 dias. Se o Workspace estiver em um SKU que limita a retenção a 90 dias, configurar 180 dias no campo de retenção não terá efeito prático além desse limite.

  • A alternativa A é falsa: não existe limite operacional fixo de 90 dias para Workspaces em planos pagos.
  • A alternativa B descreve um comportamento arquiteturalmente incorreto: o Log Analytics Workspace não consulta Storage Account como fonte de dados para suas queries KQL.
  • A alternativa C descreve um comportamento real de retenção (alterações se aplicam a dados novos), mas não explica por que dados de 90 dias estão ausentes em um Workspace configurado com 180 dias desde antes da ingestão. Esse distrator é eficaz porque descreve um comportamento verdadeiro aplicado ao cenário errado.