Guía de configuración manual de la integración de Azure

Información general

Usa esta guía a fin de configurar de manera manual la integración de Azure con Datadog a través de un registro de aplicaciones con permisos de lectura para las suscripciones monitorizadas.

Todos los sitios: todos los sitios de Datadog pueden usar los pasos de esta página a fin de completar el proceso de credenciales de registro de aplicaciones para la recopilación de métricas de Azure y la configuración del centro de eventos para enviar logs de la plataforma de Azure.

US3: si tu organización se encuentra en el sitio US3 de Datadog, puedes usar la integración nativa de Azure para optimizar la gestión y la recopilación de datos para tu entorno de Azure. Datadog recomienda usar este método cuando sea posible. La configuración implica la creación de un recurso de Datadog en Azure para vincular tus suscripciones de Azure a tu organización de Datadog. Esto reemplaza el proceso de credenciales de registro de aplicaciones para la recopilación de métricas y la configuración del centro de eventos para el reenvío de logs. Consulta la guía de configuración manual nativa de Azure para obtener más información.

Configuración

En Azure

Tu usuario de Microsoft Entra ID necesita los siguientes permisos:

Permiso para crear un registro de aplicación

Una de las siguientes condiciones debe ser cierta para el usuario:

Roles administrativos en tus suscripciones

Dentro de las suscripciones que deseas monitorizar, debes tener:

  • El rol de Propietario
  • Tanto los roles Contributor como User Access Admin.
Permiso para añadir y conceder consentimiento para permisos de Graph API

El rol de administrador privilegiado contiene los permisos necesarios.

En Datadog

El Datadog Admin Role, o cualquier otro rol con el permiso azure_configurations_manage.

Integración a través de la CLI de Azure

Para integrar Datadog con Azure mediante la CLI de Azure, Datadog recomienda usar Azure Cloud Shell.

    En primer lugar, inicia sesión en la cuenta de Azure que quieres integrar con Datadog:

    az login

    Crea una entidad de servicio y configura su acceso a los recursos de Azure:

    az ad sp create-for-rbac

    Muestra una lista de suscripciones para que puedas copiar y pegar el subscription_id:

    az account list --output table

    Crea una aplicación como entidad de servicio con el formato:

    az ad sp create-for-rbac --role "Monitoring Reader" --scopes /subscriptions/{subscription_id}

    Resultado de ejemplo:

    {
  "appId": "4ce52v13k-39j6-98ea-b632-965b77d02f36",
  "displayName": "azure-cli-2025-02-23-04-27-19",
  "password": "fe-3T~bEcFxY23R7NHwVS_qP5AmxLuTwgap5Dea6",
  "tenant": "abc123de-12f1-82de-97bb-4b2cd023bd31"
}
    • Este comando le otorga a la entidad de servicio el rol monitoring reader (lector de monitorización) para la suscripción que quieres monitorizar.
    • El appID generado a partir de este comando se debe ingresar en el cuadro de integración de Azure con Datadog en Client ID (ID de cliente).
    • Ingresa el valor Tenant ID (ID de inquilino) generado en el cuadro de integración de Azure con Datadog en Tenant name/ID (Nombre/ID del inquilino).
    • --scopes puede admitir varios valores y puedes añadir varias suscripciones o grupos de gestión a la vez. Consulta los ejemplos en la documentación de az ad sp.
    • Añade --name <CUSTOM_NAME> para usar un nombre seleccionado de manera manual; de ​​lo contrario, Azure genera uno único. El nombre no se usa en el proceso de configuración.
    • Añade --password <CUSTOM_PASSWORD> para usar una contraseña seleccionada de manera manual. De lo contrario, Azure genera una contraseña única. Esta contraseña se debe ingresar en el cuadro de integración de Azure con Datadog en Client Secret (Secreto de cliente).

    El grupo de gestión es una opción válida y recomendada para el contexto. Por ejemplo:

    az account management-group entities list --query "[?inheritedPermissions!='noaccess' && permissions!='noaccess'].{Name:displayName,Id:id}" --output table
    • En este comando se muestran todas las suscripciones y grupos de gestión a los que tiene acceso un usuario.
    • Une los IDs y crea la entidad de servicio. Puedes ejecutar este comando para crear un usuario y asignar roles a cada grupo de gestión o suscripción.

    Primero, inicia sesión en la cuenta de Azure que quieres integrar con Datadog:

    azure login

    Ejecuta el comando de visualización de cuenta:

    az account show

    Ingresa el valor Tenant ID (ID de inquilino) generado en el cuadro de integración de Azure con Datadog en Tenant name/ID (Nombre/ID del inquilino).

    Crea un nombre y contraseña:

    azure ad sp create -n <NAME> -p <PASSWORD>
    • El <NAME> NO se usa, pero es necesario como parte del proceso de configuración.
    • La <PASSWORD> que elijas se debe ingresar en el cuadro de integración de Azure con Datadog en Client Secret (Secreto de cliente).
    • El Object Id (ID de objeto) que devuelve este comando se usa en lugar de <OBJECT_ID> en el siguiente comando.

    Crea una aplicación como entidad de servicio con el formato:

    azure role assignment create --objectId <OBJECT_ID> -o "Monitoring Reader" -c /subscriptions/<SUBSCRIPTION_ID>/
    • Este comando le otorga a la entidad de servicio el rol monitoring reader (lector de monitorización) para la suscripción que quieres monitorizar.
    • El Service Principal Name (Nombre de entidad de servicio) generado a partir de este comando se debe ingresar en el cuadro de integración de Azure con Datadog en Client ID (ID de cliente).
    • <SUBSCRIPTION_ID> es la suscripción de Azure que quieres monitorizar y aparece como ID con azure account show (visualización de cuenta de azure) o en el portal.

    Integración a través de Azure Portal

      1. En el cuadro de integración de Azure, selecciona Configuration > New App Registration > Using Azure Portal (Configuración > Registro de aplicación nueva > Con Azure Portal).

      2. Selecciona Management Group (Auto-Discover) (Grupo de gestión [detección automática]) o Individual Subscriptions (Suscripciones individuales).

        • Si seleccionas el grupo de gestión, Datadog detecta y monitoriza de manera automática todas las suscripciones en ese contexto seleccionado, incluidas las suscripciones que se creen en el futuro. Debes tener seleccionado el rol de propietario en el grupo de gestión.
        • Si seleccionas las suscripciones individuales, debes tener el rol de propietario en todas las suscripciones que quieras monitorizar.

      3. Haz clic en Open Template (Abrir plantilla).

      El cuadro de Azure en la página de integraciones de Datadog con las opciones Con Azure Portal y Grupo de gestión seleccionadas

      1. Selecciona la Region (Región), Subscription (Suscripción) y Resource Group (Grupo de recursos) para la plantilla que se desplegará.

        Nota: La selección de región, suscripción y grupo de recursos solo define dónde se despliega esta plantilla. No tiene ningún efecto en las suscripciones que monitoriza Datadog.

      2. Haz clic en Siguiente.

      3. Selecciona la opción Create new (Crear nuevo) en Service principal type (Tipo de entidad de servicio).

      4. Haz clic en el enlace Change selection (Cambiar selección) en Service principal (Entidad de servicio). Aparece un formulario para crear un registro de aplicaciones nuevo:

      La página de la entidad de servicio en la plantilla de Azure ARM con la opción Crear nuevo seleccionada y el enlace Cambiar selección resaltado

      1. Ingresa un nombre para el registro de aplicaciones, selecciona los tipos de cuentas admitidos y haz clic en Register (Registrar).

      2. Se abrirá una página para crear un secreto de cliente. Haz clic en + New client secret (+ Secreto de cliente nuevo) para añadir un secreto de cliente.

      3. Copia el valor del secreto de cliente y haz clic en el botón de cerrar (X) en la esquina superior derecha de la pantalla.

      4. Pega el valor del secreto de cliente en el campo correspondiente de la plantilla y haz clic en Next (Siguiente).

      5. Proporciona una clave de API de Datadog y un valor de clave de aplicación de Datadog en los campos correspondientes. Si iniciaste la plantilla desde la página de la integración de Azure en Datadog, puedes copiar las claves que se proporcionan allí. De lo contrario, puedes encontrar las claves de API y de aplicación en la sección de Acceso de los parámetros de organización.

        Nota: Si has elegido monitorizar suscripciones individuales en lugar de un grupo de gestión, selecciona las suscripciones a monitorizar en el menú desplegable Subscriptions to monitor (Suscripciones a monitorizar).

      6. Selecciona tu sitio de Datadog, así como cualquier otra opción de configuración de la integración, como filtros de host y si deseas recopilar recursos para Cloud Security.

      7. Haz clic en Review + create (Revisar + crear) y, a continuación, en Create (Crear).

      8. Una vez finalizado el despliegue, haz clic en Done (Hecho) en la página de integración de Azure en Datadog para actualizar la lista y revisar el registro de la aplicación recién añadida.

      1. Crea un registro de aplicación en tu Active Directory.
      2. Otorga a la aplicación acceso de lectura a las suscripciones que desees monitorizar.
      3. Configura las credenciales de la aplicación en Datadog.

      Crear un registro de aplicación

      1. En Microsoft Entra ID, ve a App registrations (Registros de aplicaciones).
      2. Haz clic en New registration (Nuevo registro).
      3. Proporciona un nombre y confirma que los Supported account types (Tipos de cuenta admitidos) están configuradod en Accounts in this organizational directory only.
      4. Haz clic en Register (Registrar).
      La pantalla en el portal de Azure para el registro de una aplicación

      Dar permisos de lectura a la aplicación

      1. Asigna el acceso a nivel de suscripción individual o de grupo de gestión.

        • Para asignar el acceso a nivel de suscripción, ve a Subscriptions (Suscripciones) a través del cuadro de búsqueda o de la barra lateral izquierda.
        • Para asignar el acceso a nivel de grupo de gestión, ve a Management Groups (Grupos de gestión) y selecciona el grupo de gestión que contiene el conjunto de suscripciones a monitorizar.
          Nota: La asignación de acceso a nivel de grupo de gestión significa que cualquier nueva suscripción que se añada al grupo será detectada y supervisada automáticamente por Datadog.

      2. Haz clic en la suscripción o grupo de gestión que desees monitorizar.

      3. Selecciona Access control (IAM) (Control de acceso (IAM)) en el menú de suscripción y haz clic en Add role assignment (Añadir asignación de roles):

        Añadir asignación de rol

      4. En la pestaña Role (Rol), selecciona Reader (Lector).

      5. En la pestaña Members (Miembros), haz clic en Select members (Seleccionar miembros).

      6. Introduce la aplicación creada en la sección crear un registro de aplicación.

      7. Haz clic en Review + assign (Revisar + asignar) para completar la creación.

      8. Repite este proceso para las suscripciones o grupos de gestión adicionales que desees monitorizar con Datadog.

      Notas:

      • Los usuarios de Azure Lighthouse pueden añadir suscripciones de arrendatarios de clientes.
      • Los diagnósticos deben estar habilitados para que las máquinas virtuales desplegadas en ARM recopilen métricas, consulta Habilitar diagnósticos.

      Completar la integración

      1. En App Registrations (Registros de aplicaciones), selecciona la aplicación que creaste, copia el Application (client) ID (ID de aplicación (cliente)) y el Directory (tenant) ID (ID de directorio (inquilino)), y pega los valores en el cuadro de integración de Azure con Datadog en Client ID (ID de cliente) y Tenant ID (ID de inquilino).

      2. Para la misma aplicación, dirígete a Manage > Certificates and secrets (Gestionar > Certificados y secretos).

      3. Haz clic en + New client secret: (+ Nuevo secreto de cliente):

        1. Opcionalmente, proporciona una descripción.

        2. Selecciona un plazo de expiración en el campo Expires (Expiración).

        3. Haz clic en Add (Añadir).

          Secreto de cliente de Azure

      4. Cuando se muestre el valor de la clave, copia y pega el valor en el cuadro de integración de Datadog y Azure en Client Secret (Secreto de cliente).

      5. Haz clic en Create Configuration (Crear configuración).

      Nota: Las actualizaciones de la configuración de Azure pueden tardar hasta 20 minutos en reflejarse en Datadog.

      Configuración

      A fin de limitar la recopilación de métricas para los hosts basados ​​en Azure, abre el cuadro de integración de Azure. Selecciona la pestaña Configuration (Configuración) y, a continuación, abre App Registrations (Registros de aplicaciones). Ingresa una lista de etiquetas (tags) en el cuadro de texto debajo de Metric Collection Filters (Filtros de recopilación de métricas).

      Esta lista de etiquetas en formato <KEY>:<VALUE> se encuentra separada por comas y define un filtro que se usa al recopilar métricas. También se pueden usar comodines como ? (para caracteres individuales) y * (para varios caracteres).

      Solo las VMs que coinciden con una de las etiquetas definidas se importan a Datadog. El resto se ignoran. Las VMs que coinciden con una etiqueta determinada también se pueden excluir al añadir ! antes de la etiqueta. Por ejemplo:

      datadog:monitored,env:production,!env:staging,instance-type:c1.*

      Monitorizar el estado de la integración

      Una vez que se haya configurado la integración, Datadog comienza a ejecutar una serie continua de llamadas a las APIs de Azure para recopilar datos de monitorización críticos de tu entorno de Azure. A veces, estas llamadas devuelven errores (por ejemplo, si las credenciales proporcionadas han expirado). Estos errores pueden inhibir o bloquear la capacidad de Datadog para recopilar datos de monitorización.

      Cuando se detectan errores críticos, la integración de Azure genera eventos en el explorador de eventos de Datadog y los vuelve a publicar cada cinco minutos. Puedes configurar un monitor de eventos para que se active cuando se detecten estos eventos y notifique al equipo correspondiente.

      Datadog proporciona una plantilla de monitor para ayudarte a empezar. Para utilizar la plantilla de monitor:

      1. En Datadog, ve a Monitors (Monitores) y haz clic en Browse Templates (Buscar plantillas).
      2. Busca y selecciona la plantilla de monitor titulada Errores de integración de [Azure].
      3. Realiza las modificaciones que quieras en la consulta de búsqueda o en las condiciones de alerta. De manera predeterminada, el monitor se activa cuando se detecta un error nuevo y se resuelve cuando no se ha detectado el error durante los últimos 15 minutos.
      4. Actualiza los mensajes de notificación y notificación nueva según lo consideres. Ten en cuenta que los eventos en sí contienen información relevante sobre el evento y se incluyen en la notificación de manera automática. Esto incluye información detallada sobre el contexto, la respuesta a errores y los pasos comunes para solucionarlos.
      5. Configura notificaciones a través de tus canales preferidos (correo electrónico, Slack, PagerDuty u otros) para asegurarte de que tu equipo esté alerta sobre los problemas que afectan la recopilación de datos de Azure.

      Recopilación de métricas

      Una vez que se haya configurado el cuadro de integración, un rastreador recopila las métricas. Para recopilar métricas adicionales, despliega el Datadog Agent en tus VMs:

      Instalación del Agent

      Puedes usar la extensión de Azure para instalar el Datadog Agent en VMs de Windows, Linux x64 y Linux basadas en ARM. También puedes usar la extensión del clúster de AKS para desplegar el Agent en tus clústeres de AKS.

        1. En Azure Portal, selecciona la VM adecuada.
        2. En la barra lateral izquierda, en Settings (Configuración), selecciona **Extensions + applications (Extensiones + aplicaciones).
        3. Haz clic en + Add (+ Añadir).
        4. Busca y selecciona la extensión Datadog Agent.
        5. Haz clic en Siguiente.
        6. Ingresa tu clave de API de Datadog y sitio de Datadog, y haz clic en OK (Aceptar).

        Para instalar el Agent en función del sistema operativo o herramienta de CI y CD, consulta las instrucciones de instalación del Datadog Agent.

        Nota: Los controladores de dominio no son compatibles al instalar el Datadog Agent con la extensión de Azure.

        La extensión del clúster de AKS de Datadog te permite desplegar el Datadog Agent de manera nativa en Azure AKS, lo que evita la complejidad de las herramientas de gestión de terceros. Para instalar el Datadog Agent con la extensión del clúster de AKS:

        1. Dirígete a tu clúster de AKS en Azure Portal.
        2. En la barra lateral izquierda del clúster de AKS, selecciona Extensions + applications (Extensiones + aplicaciones) en Settings (Configuración).
        3. Busca y selecciona Datadog AKS Cluster Extension (Extensión del clúster de AKS de Datadog).
        4. Haz clic en Create (Crear) y sigue las instrucciones del cuadro con tus credenciales de Datadog y el sitio de Datadog.

        Envío de Logs

        Consulta la guía de registro de Azure para configurar el reenvío de logs desde tu entorno de Azure a Datadog.

        Más enlaces, artículos y documentación útiles:

        ¿Por qué debería instalar el Datadog Agent en mis instancias de nube?DOCUMENTACIÓN more more Datadog en Azure PortalDOCUMENTACIÓN more more Monitorizar Azure Government con DatadogBLOG more more Monitorizar Azure Container Apps con DatadogBLOG more more Cómo monitorizar máquinas virtuales de Microsoft AzureBLOG more more Explorar Azure App Service con la vista serverless de DatadogBLOG more more