📋

Auditoría y Activity Log

Saber quién hace qué en tu tenant: Activity Log de Power BI, Unified Audit Log de Microsoft 365, Purview audit y patrones para montar dashboards de uso.

Avanzado
🗂️

Las 3 fuentes de auditoría

No es una, son tres (y se complementan)

📊 Power BI Activity Log

  • Eventos específicos de Power BI / Fabric
  • Retención: 30 días
  • Acceso: admin del tenant, vía PowerShell / API
  • Granularidad alta (incluye ViewReport, ExportReport, ShareReport, CreateApp...)

🌐 Unified Audit Log (M365)

  • Eventos de toda la suite Microsoft 365 (incluye Power BI)
  • Retención: 90 días por defecto (hasta 1 año/10 años con E5/add-ons)
  • Acceso: Microsoft 365 Compliance / Purview
  • Útil para compliance multi-producto

Además, hay una tercera fuente complementaria: las Admin APIs (Scanner API, Workspaces, Users) que devuelven metadatos del tenant, no eventos. Sirven para inventario y permisos, no para "quién hizo qué".

📜

Power BI Activity Log en detalle

Tipos de eventos más útiles

  • ViewReport / ViewDashboard: consumo real, base de cualquier métrica de adopción
  • ExportReport / ExportDataset: alertas de fuga potencial — sobre todo si la sensitivity label no debería permitirlo
  • ShareReport / ShareDashboard: quién comparte qué con quién (incluyendo external sharing)
  • CreateDataset / DeleteDataset / RepublishContent: ciclo de vida
  • UpdateDataSources: cambios en orígenes (cruciales tras incidentes)
  • RefreshSemanticModel: refresh manual o programado (éxito / fallo)
  • TenantSettingChanged: cambios en configuración global — siempre vigilados
  • AddedAdminAsMemberOfWorkspace: cambios de permisos sensibles
⚙️

Cómo extraer los datos

Tres rutas, según madurez

1. Manual desde el portal (rápido y puntual)

  • Microsoft Purview / Compliance → Audit → Buscar por workload "PowerBI"
  • Exporta a CSV — bien para auditorías de un día concreto
  • Limitación: depende del retention configurado

2. PowerShell con MicrosoftPowerBIMgmt

Connect-PowerBIServiceAccount

Get-PowerBIActivityEvent `
    -StartDateTime "2026-05-23T00:00:00" `
    -EndDateTime "2026-05-23T23:59:59" `
    | ConvertFrom-Json `
    | Export-Csv "activity_log.csv" -NoTypeInformation

Patrón típico: script que se lanza cada noche y guarda 1 día en un Storage Account / Lakehouse.

3. API REST + automatización (madurez alta)

  • Endpoint: GET /admin/activityevents
  • Limita a 1 día por petición y devuelve continuation tokens
  • Patrón profesional: pipeline de Fabric Data Factory que orquesta la extracción a un lakehouse, modela en Silver/Gold y alimenta un dashboard "Adoption & Governance"
📌 Buena práctica: Activity Log retiene solo 30 días. Si no lo copias a un almacén propio cada noche, mañana no habrá historia. Considéralo el "log de seguridad" — necesitas archivo.
📈

Dashboard de gobernanza y adopción

Vistas que cualquier admin agradece

Adopción

  • Usuarios activos por mes (DAU / MAU)
  • Top 10 informes más vistos
  • Informes sin visualizaciones en 60 días — candidatos a archivar
  • Informes Certified vs no certificados (uso comparado)

Seguridad y compliance

  • Exports por sensitivity label (alertas en Highly Confidential)
  • External sharing — usuarios fuera del tenant que reciben contenido
  • Cambios en tenant settings (auditoría de configuración)
  • Refresh fallidos por workspace

Capacidades

  • Uso de CPU por capacidad (cruzado con Capacity Metrics App)
  • Workspaces en capacidades premium vs Pro
  • Datasets que más consumen recursos
💡 Tip kawaii: El dashboard de gobernanza es el primero que tú misma deberías mirar cada lunes. Si tú no lo usas, no podrás convencer a nadie de que la gobernanza importa. 🌸

Retención y normativa

Cuánto guardar y por qué

  • 30 días en Activity Log Power BI — fijo, no configurable
  • 90 días / 1 año / 10 años en Audit Log M365 según SKU y configuración
  • Para retención más allá, hay que archivar a un almacén propio (storage, lakehouse) y aplicar tu propia política

Consideraciones normativas

  • GDPR exige justificar la retención de logs con datos personales (UPN, emails)
  • Muchas organizaciones aplican 13 meses (cubre auditorías anuales)
  • Sectores regulados (banca, salud) suelen requerir 7+ años
⚠️ Ojo: Activar la auditoría no es opcional en ningún tenant serio. En M365, el Unified Audit Log puede estar desactivado por defecto en tenants antiguos. Comprueba en Purview que esté ON.
🚀 Siguiente paso: Para complementar la detección con bloqueos automatizados, mira DLP. Y para gestionar lo que el log te revela (workspaces huérfanos, capacidades sobrecargadas), pasa a Tenant Settings y Capacidades.