Retención de Bitácoras en Microsoft: Guía Completa de Valores por Defecto [2026]
Resumen ejecutivo: Los periodos de retención por defecto de bitácoras (logs) en productos Microsoft van desde 7 días en Entra ID Free hasta 180 días en Microsoft Defender, con huecos críticos como los Azure Resource Logs que no se generan en absoluto sin configuración explícita. Esta guía consolida todos los valores por defecto con referencias oficiales de Microsoft Learn para que su organización pueda identificar y cerrar huecos de cobertura antes de que un incidente los exponga.
Contenido
- ¿Por qué importa la retención de bitácoras?
- Windows Server: retención basada en tamaño
- Microsoft Entra ID: entre 7 y 90 días
- Microsoft 365 Unified Audit Log
- Azure: tres capas de bitácoras
- Microsoft Defender: matices por producto
- Tabla resumen completa
- Cómo cerrar los huecos de retención
- Preguntas frecuentes
¿Por qué importa la retención de bitácoras?
Uno de los hallazgos más recurrentes en nuestras evaluaciones de seguridad es que las organizaciones asumen que «las bitácoras están ahí» sin verificar cuánto tiempo se retienen realmente. El problema se manifiesta cuando ocurre un incidente: el equipo de respuesta necesita datos históricos, pero los logs ya fueron eliminados porque la retención por defecto había expirado semanas o meses antes.
Considerando que el tiempo promedio para detectar una brecha de seguridad supera los 200 días según múltiples estudios de la industria, una retención de 30 días en sign-in logs o 20 MB en event logs deja a la mayoría de las organizaciones sin la capacidad de reconstruir la cadena de ataque.
Los valores por defecto de retención de Microsoft están diseñados para el funcionamiento operativo del servicio, no para satisfacer necesidades de seguridad, cumplimiento o respuesta a incidentes. Este artículo documenta cada valor por defecto para que su organización pueda tomar decisiones informadas.
Windows Server: Retención Basada en Tamaño, No en Tiempo
A diferencia de los servicios en nube, las bitácoras de Windows Server no se miden en días sino en espacio de disco. Los Event Logs (Application, Security, System y Setup) tienen un tamaño máximo por defecto de 20 MB cada uno, y cuando se llenan, los eventos más antiguos se sobrescriben automáticamente.
¿Cuánto duran 20 MB en un servidor real?
En un servidor con auditoría básica habilitada, 20 MB puede cubrir entre unas horas y unos pocos días dependiendo de la carga. En un controlador de dominio con Advanced Audit Policy configurada, esos 20 MB se agotan rápidamente. Esto significa que en una configuración por defecto, un atacante que permanezca silencioso unas semanas probablemente ya no tendrá rastro en los logs locales.
Configuración recomendada
El rango configurable va desde 1 MB hasta 2 TB (1,024 KB a 2,147,483,647 KB). Estándares como el DISA STIG para Windows Server 2022 recomiendan un mínimo de 192 MB (196,608 KB) solo para el log de Security. Para entornos empresariales, la práctica recomendada es:
- Controladores de dominio y servidores críticos: 1–4 GB para el Security log.
- Servidores generales: mínimo 192 MB según STIG.
- En todos los casos: envío centralizado a un SIEM o Log Analytics Workspace para retención a largo plazo.
El comportamiento cuando el log se llena también es configurable: por defecto se sobrescriben los eventos más antiguos («Overwrite events as needed»). La alternativa «Archivar el log cuando esté lleno» crea una copia y comienza uno nuevo — más seguro desde la perspectiva forense pero requiere monitoreo del espacio en disco.
Referencia oficial: Understanding the Windows Server Event Log — Microsoft Tech Community
Microsoft Entra ID: Entre 7 y 90 Días Según Licencia y Tipo de Log
Microsoft Entra ID (anteriormente Azure Active Directory) es el plano de identidad de todo entorno Microsoft 365 y Azure. Sus bitácoras son críticas para detectar compromisos de cuentas, escalación de privilegios y movimiento lateral.
Retención de reportes de actividad en Entra ID
| Tipo de Bitácora | Entra ID Free | Entra ID P1 | Entra ID P2 |
|---|---|---|---|
| Audit Logs | 7 días | 30 días | 30 días |
| Sign-in Logs | 7 días | 30 días | 30 días |
| MFA Usage | 30 días | 30 días | 30 días |
| Microsoft Graph Activity Logs | No disponible | Sin retención nativa ¹ | Sin retención nativa ¹ |
¹ Los Microsoft Graph Activity Logs solo están disponibles con licencias P1/P2 y no se retienen a menos que se archiven explícitamente a una Storage Account o se integren con herramientas de análisis como Log Analytics. La retención por defecto es efectivamente cero.
Retención de señales de seguridad (Identity Protection)
| Tipo de Reporte | Entra ID Free | Entra ID P1 | Entra ID P2 |
|---|---|---|---|
| Risky Users | Sin límite ² | Sin límite ² | Sin límite ² |
| Risky Sign-ins | 7 días | 30 días | 90 días |
² Los registros de Risky Users y Workload Identities riesgosas no se eliminan hasta que el riesgo sea remediado.
Nótese la diferencia clave con Entra ID P2 en Risky Sign-ins: mientras los Sign-in Logs estándar se retienen 30 días, las señales de inicios de sesión riesgosos se extienden a 90 días. Esta ventana ampliada es relevante para investigaciones con Identity Protection.
La retención de Entra ID no es retroactiva
Si una organización opera con Entra ID Free y luego adquiere licencias P1/P2, solo verá datos dentro de la ventana de retención de la licencia gratuita (7 días). Los datos históricos que ya expiraron no se recuperan. Microsoft es explícito al respecto en su documentación.
¿Cómo extender la retención de logs de Entra ID?
Para extender la retención más allá de estos periodos, se debe configurar Diagnostic Settings para enviar las bitácoras a:
- Log Analytics Workspace: retención configurable hasta 730 días (2 años).
- Azure Storage Account: retención ilimitada dependiendo de las políticas de lifecycle.
- Event Hub: para integración con SIEM de terceros.
- Microsoft Purview Audit Premium (con licencia E5): alternativa para retener audit logs más allá del periodo por defecto.
Referencia oficial: Microsoft Entra Data Retention — Microsoft Learn
Microsoft 365 Unified Audit Log: 180 Días con Excepciones Importantes
El Unified Audit Log (UAL) de Microsoft 365, gestionado desde Microsoft Purview, es la fuente central de auditoría para Exchange Online, SharePoint, OneDrive, Teams y las actividades de Entra ID dentro del ecosistema M365.
Es importante señalar que el UAL de M365 y los logs de Entra ID son sistemas separados con retenciones independientes.
Periodos de retención del Unified Audit Log
A partir de octubre de 2023, Microsoft cambió el periodo de retención por defecto de Audit (Standard) de 90 a 180 días.
| Nivel de Licencia | Retención por Defecto | Máximo Configurable |
|---|---|---|
| M365 E3 / Business (Audit Standard) | 180 días | 180 días |
| M365 E5 / Purview Audit Premium | 1 año | 1 año |
| E5 + Add-on 10-Year Retention | Configurable | Hasta 10 años |
Auditoría no habilitada por defecto en licencias SMB
Un hueco que muchos administradores desconocen: la auditoría no está habilitada por defecto en licencias SMB(Business Basic, Business Standard, Business Premium) ni en tenants no gestionados con pruebas gratuitas de licencias enterprise. Debe activarse manualmente desde el portal de Purview o mediante PowerShell:
Powershell:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueHasta que no se active, no se registra actividad alguna. Las organizaciones con licencias Enterprise E3 o superiores sí tienen auditoría habilitada automáticamente.
La licencia del usuario determina la retención, no la del administrador
El periodo de retención se determina por la licencia asignada al usuario que generó la actividad auditada, no por la licencia del administrador que busca los logs. En organizaciones con mezcla de E3 y E5, los registros de usuarios E3 solo se retienen 180 días, incluso si el administrador tiene E5.
Referencias oficiales:
Azure: Tres Capas de Bitácoras con Retenciones Diferentes
Azure genera bitácoras en tres niveles distintos. Comprender estas capas es fundamental porque cada una tiene huecos diferentes.
Azure Activity Logs (plano de control) — 90 días gratis
Los Activity Logs registran todas las operaciones de gestión de recursos: quién creó, modificó o eliminó un recurso y cuándo. Se retienen por 90 días sin costo ni cargo por ingesta.
Sin embargo, 90 días es el límite absoluto. Dado que el Activity Log es la única ubicación donde se persiste el creador de un recurso, perder estos datos puede dificultar la trazabilidad significativamente.
Referencia oficial: Azure Monitor Activity Log — Microsoft Learn
Azure Resource Logs (plano de datos) — no se generan por defecto
Este es el hueco más peligroso: los Resource Logs no se generan ni retienen en absoluto sin configuración explícita mediante Diagnostic Settings. Esto incluye logs de acceso a Key Vault, consultas a bases de datos SQL, operaciones en Storage Accounts, y más.
Si una organización no ha configurado Diagnostic Settings, la pregunta «¿quién accedió a nuestro Key Vault hace dos semanas?» no tiene respuesta posible. Una vez habilitados, la retención depende del destino configurado.
Log Analytics Workspace — 30 días por defecto
Cuando los logs se envían a un Log Analytics Workspace, la retención varía por tipo de tabla:
| Tipo de Tabla | Retención por Defecto | Máximo Analytics | Máximo Total |
|---|---|---|---|
| Tablas Analytics (mayoría) | 30 días | 730 días (2 años) | 12 años |
| AzureActivity y Usage | 90 días (gratis) | 730 días (2 años) | 12 años |
| Tablas Basic/Auxiliary | 30 días | 30 días | 12 años |
Importante — Microsoft Sentinel: Cuando un workspace tiene Microsoft Sentinel habilitado, la retención en la capa Analytics es gratuita durante los primeros 90 días (en lugar de los 30 estándar). Esta diferencia es significativa para la planificación de costos.
Referencias oficiales:
Microsoft Defender: 180 Días en el Portal, Pero con Matices Importantes
La familia Microsoft Defender presenta matices en retención que generan confusión frecuente.
Defender for Endpoint — tres niveles de retención
| Nivel de Acceso | Retención por Defecto |
|---|---|
| Datos generales en el portal | 180 días |
| Device Timeline (eventos de seguridad) | 90 días |
| Advanced Hunting (consultas KQL) | 30 días |
La diferencia entre estos niveles es operacionalmente crítica. Si un analista necesita reconstruir una cadena de ataque de hace 60 días usando KQL en Advanced Hunting, no podrá hacerlo a menos que los datos se hayan enviado previamente a un Log Analytics Workspace con mayor retención.
Las entradas de inventario de Defender Vulnerability Management expiran después de 7 o 31 días dependiendo de la fuente.
Referencias oficiales:
Defender for Office 365 — solo 30 días
Defender for Office 365 tiene la retención más corta: 30 días por defecto. Para investigar un compromiso de Business Email Compromise (BEC) de hace 2 meses, esos datos ya no existen.
Referencia oficial: Defender for Office 365 Data Retention — Microsoft Learn
Defender for Cloud Apps — 180 días
Los datos se retienen por hasta 180 días y son visibles en el portal durante ese periodo.
Referencia oficial: Defender for Cloud Apps — Privacy — Microsoft Learn
Defender for Cloud — retención fragmentada
- Sin planes Defender habilitados: 30 días antes de eliminación de Azure Resource Graph.
- Cloud security graph: 14 días.
- Recomendaciones de seguridad: 90 días desde detección inicial.
Referencia oficial: Defender for Cloud Data Security — Microsoft Learn
Retención general de Microsoft Defender XDR
A nivel de plataforma, la mayoría de los servicios Defender mantienen 180 días de retención por defecto. Los datos de Advanced Hunting son accesibles por 30 días salvo extensión vía Microsoft Sentinel.
Referencia oficial: Data Retention in Microsoft Defender XDR — Microsoft Learn
Tabla Resumen: Retención por Defecto de Bitácoras Microsoft
| Fuente de Bitácora | Retención por Defecto | Referencia Microsoft Learn |
|---|---|---|
| Windows Event Logs | ~20 MB por log (tamaño, no tiempo) | Event Log — Tech Community |
| Entra ID Sign-in / Audit Logs | 7 días (Free) · 30 días (P1/P2) | Entra Data Retention |
| Entra ID Risky Sign-ins | 7d (Free) · 30d (P1) · 90d (P2) | Entra Data Retention |
| Entra ID Risky Users | Sin límite (hasta remediación) | Entra Data Retention |
| Entra ID Graph Activity Logs | Cero (requiere archivado) | Entra Data Retention |
| M365 Unified Audit Log (Standard) | 180 días ³ | Audit Log Retention |
| M365 Unified Audit Log (Premium) | 1 año | Audit Log Retention |
| Azure Activity Log | 90 días (gratis) | Activity Log |
| Azure Resource Logs | No se generan por defecto | Resource Logs |
| Log Analytics Workspace | 30 días (mayoría) · 90 días (AzureActivity) | Data Retention |
| Log Analytics + Sentinel | 90 días gratis | Sentinel Billing |
| Defender for Endpoint | 180d (portal) · 90d (timeline) · 30d (hunting) | MDE Data Storage |
| Defender for Office 365 | 30 días | MDO Retention |
| Defender for Cloud Apps | 180 días | MDCA Privacy |
| Defender for Cloud | 14–90 días (varía por componente) | MDC Data Security |
³ No habilitada por defecto en licencias SMB. Sin activación, la retención es cero.
Cómo Cerrar los Huecos de Retención
Paso 1: Inventariar las fuentes de bitácoras
No se puede proteger lo que no se ha mapeado. Identifique cada fuente de logs en su entorno — servidores on-premises, servicios de identidad, aplicaciones en la nube y recursos de Azure.
Paso 2: Documentar los periodos actuales
Utilice la tabla resumen de este artículo como punto de partida. Verifique contra su configuración real: ¿tiene Diagnostic Settings configurados? ¿Qué licencia de Entra ID tiene? ¿La auditoría de M365 está habilitada?
Paso 3: Definir un periodo mínimo de retención
Para la mayoría de las organizaciones, 1 año de retención para bitácoras de seguridad e identidad es un punto de partida razonable. Industrias como salud (HIPAA) o financiera pueden requerir 6 años o más. Marcos como ISO 27001 o NIS2 pueden exigir un mínimo de 90 días.
Paso 4: Implementar la retención extendida
En el ecosistema Microsoft, esto generalmente implica:
- Configurar Diagnostic Settings en Entra ID y recursos de Azure.
- Crear un Log Analytics Workspace con retención apropiada.
- Considerar Microsoft Sentinel si se necesitan capacidades SIEM (incluye 90 días de retención gratuita).
- Para M365, evaluar si las licencias actuales cubren las necesidades o si se requiere Purview Audit Premium.
Paso 5: Verificar periódicamente
Una configuración de Diagnostic Settings que dejó de funcionar silenciosamente es equivalente a no tener configuración alguna. Implemente alertas para detectar interrupciones en el flujo de logs.
Preguntas Frecuentes
¿Cuál es la retención por defecto de los logs de Microsoft 365?
El Unified Audit Log de Microsoft 365 retiene datos por 180 días con licencias estándar (Audit Standard). Con licencias E5 o Purview Audit Premium, la retención se extiende a 1 año. Las licencias SMB (Business Basic/Standard/Premium) requieren habilitación manual de la auditoría.
¿Cuánto tiempo retiene Entra ID los logs de inicio de sesión?
Entra ID Free retiene sign-in logs por 7 días. Con licencias Entra ID P1 o P2, la retención se extiende a 30 días. Los Risky Sign-ins con P2 se retienen por 90 días. Para mayor retención, se requiere configurar Diagnostic Settings.
¿Se pierden los logs de Azure si no configuro nada?
Depende del tipo de log. Los Activity Logs se retienen 90 días sin configuración. Los Resource Logs (plano de datos) no se generan en absoluto sin Diagnostic Settings habilitados, lo que significa que no existe historial de operaciones en recursos como Key Vault, SQL o Storage.
¿Cuántos días de datos tiene Advanced Hunting en Defender for Endpoint?
Advanced Hunting en Defender for Endpoint solo permite consultar los últimos 30 días de datos. Los datos generales del portal se retienen 180 días, y el device timeline muestra eventos de seguridad de los últimos 90 días.
¿Cuál es la diferencia de retención entre Log Analytics con y sin Microsoft Sentinel?
Un Log Analytics Workspace estándar retiene datos por 30 días por defecto. Cuando se habilita Microsoft Sentinel en el workspace, la retención en la capa Analytics es gratuita durante 90 días, triplicando el periodo sin costo adicional.
¿La retención de Entra ID es retroactiva si cambio de licencia?
No. Si una organización actualiza de Entra ID Free a P1/P2, solo estarán disponibles los datos que aún estén dentro del periodo de retención de la licencia gratuita (hasta 7 días). Los datos que ya expiraron no se recuperan.
Todas las referencias incluidas en este artículo apuntan a documentación oficial de Microsoft Learn y fueron verificadas en marzo de 2026. Los periodos de retención pueden cambiar con actualizaciones de producto o licenciamiento — se recomienda validar periódicamente contra la documentación oficial.
¿Necesita ayuda mapeando las fuentes de bitácoras de su organización e identificando huecos de retención? En GFS InfoSec ofrecemos evaluaciones de postura de seguridad que incluyen este análisis como parte de nuestros servicios de consultoría en seguridad de la información.