Sdílet prostřednictvím


Správa přístupu k pracovním prostorům služby Log Analytics

Faktory, které určují, ke kterým datům máte přístup v pracovním prostoru služby Log Analytics, jsou:

  • Nastavení v samotném pracovním prostoru.
  • Vaše přístupová oprávnění k prostředkům, které odesílají data do pracovního prostoru.
  • Metoda použitá pro přístup k pracovnímu prostoru.

Tento článek popisuje, jak spravovat přístup k datům v pracovním prostoru služby Log Analytics.

Přehled

Faktory definující data, ke kterým máte přístup, jsou popsány v následující tabulce. Každý faktor je podrobněji popsán v následujících částech.

Faktor Popis
Režim přístupu Metoda použitá pro přístup k pracovnímu prostoru. Definuje rozsah dostupných dat a použitý režim řízení přístupu.
Režim řízení přístupu Nastavení pracovního prostoru, které definuje, jestli se oprávnění použijí na úrovni pracovního prostoru nebo prostředku.
Řízení přístupu na základě role Azure Oprávnění použitá pro jednotlivce nebo skupiny uživatelů pro pracovní prostor nebo prostředek odesílající data do pracovního prostoru. Definuje, ke kterým datům máte přístup.
Azure RBAC na úrovni tabulky Volitelná oprávnění definující konkrétní datové typy v pracovním prostoru, ke kterému máte přístup. Lze použít pro všechny režimy přístupu nebo režimy řízení přístupu.

Režim přístupu

Režim přístupu odkazuje na přístup k pracovnímu prostoru služby Log Analytics a definuje data, ke které můžete přistupovat během aktuální relace. Režim se určuje podle rozsahu, který vyberete v Log Analytics.

Existují dva režimy přístupu:

  • Kontext pracovního prostoru: Můžete zobrazit všechny protokoly v pracovním prostoru, ke kterému máte oprávnění. Dotazy v tomto režimu jsou vymezeny na všechna data v tabulkách, ke kterým máte přístup v pracovním prostoru. Tento režim přístupu se používá, když se protokoly přistupují k pracovnímu prostoru jako oboru, například když na webu Azure Portal vyberete protokoly v nabídce Azure Monitor.
  • Kontext prostředku: Při přístupu k pracovnímu prostoru pro konkrétní prostředek, skupinu prostředků nebo předplatné, například při výběru protokolů z nabídky prostředků na webu Azure Portal, můžete zobrazit protokoly pouze pro prostředky ve všech tabulkách, ke kterým máte přístup. Dotazy v tomto režimu jsou omezené pouze na data přidružená k tomuto prostředku. Tento režim také umožňuje podrobné řízení přístupu na základě role v Azure. Pracovní prostory používají model protokolu kontextu prostředku, ve kterém se k tomuto prostředku automaticky přidruží každý záznam protokolu vygenerovaný prostředkem Azure.

Záznamy jsou k dispozici pouze v dotazech kontextových prostředků, pokud jsou přidružené k příslušnému prostředku. Pokud chcete toto přidružení zkontrolovat, spusťte dotaz a ověřte, že je vyplněný sloupec _ResourceId .

Existují známá omezení s následujícími prostředky:

Porovnání režimů přístupu

Následující tabulka shrnuje režimy přístupu:

Problém Kontext pracovního prostoru Kontext prostředku
Pro koho je každý model určený? Centrální správa.
Správci, kteří potřebují konfigurovat shromažďování dat a uživatele, kteří potřebují přístup k široké škále prostředků V současné době se také vyžaduje, aby uživatelé, kteří potřebují přistupovat k protokolům pro prostředky mimo Azure.
Aplikační týmy.
Správci monitorovaných prostředků Azure Umožňuje jim soustředit se na svůj prostředek bez filtrování.
Co uživatel vyžaduje k zobrazení protokolů? Oprávnění k pracovnímu prostoru
Viz Oprávnění pracovního prostoru ve správě přístupu pomocí oprávnění pracovního prostoru.
Přístup pro čtení k prostředku.
Viz Oprávnění k prostředkům ve správě přístupu pomocí oprávnění Azure. Oprávnění mohou být zděděna ze skupiny prostředků nebo předplatného nebo přímo přiřazena k prostředku. Oprávnění k protokolům prostředku se automaticky přiřadí. Uživatel nevyžaduje přístup k pracovnímu prostoru.
Jaký je rozsah oprávnění? Pracovní plocha.
Uživatelé s přístupem k pracovnímu prostoru můžou dotazovat všechny protokoly v pracovním prostoru z tabulek, ke kterým mají oprávnění. Viz Nastavení přístupu pro čtení na úrovni tabulky.
Prostředek Azure.
Uživatelé můžou dotazovat protokoly pro konkrétní prostředky, skupiny prostředků nebo předplatná, ke kterým mají přístup v jakémkoli pracovním prostoru, ale nemůžou dotazovat protokoly pro jiné prostředky.
Jak může uživatel přistupovat k protokolům? V nabídce Služby Azure Monitor vyberte Protokoly.

Vyberte protokoly z pracovních prostorů služby Log Analytics.

Ze sešitů Azure Monitoru.
V nabídce prostředku Azure vyberte Protokoly . Uživatelé budou mít přístup k datům pro tento prostředek.

V nabídce Azure Monitor vyberte Protokoly. Uživatelé budou mít přístup k datům pro všechny prostředky, ke kterým mají přístup.

Pokud mají uživatelé přístup k pracovnímu prostoru, vyberte protokoly z pracovních prostorů služby Log Analytics.

Ze sešitů Azure Monitoru.

Režim řízení přístupu

Režim řízení přístupu je nastavení v každém pracovním prostoru, které definuje způsob určení oprávnění pro daný pracovní prostor.

  • Vyžadovat oprávnění pracovního prostoru. Tento řídicí režim neumožňuje podrobné řízení přístupu na základě role v Azure. Aby měl uživatel přístup k pracovnímu prostoru, musí mít udělená oprávnění k pracovnímu prostoru nebo konkrétním tabulkám.

    Pokud uživatel přistupuje k pracovnímu prostoru v režimu kontextu pracovního prostoru, má přístup ke všem datům v libovolné tabulce, ke které má udělený přístup. Pokud uživatel přistupuje k pracovnímu prostoru v režimu kontextu prostředku, má přístup jenom k datům pro daný prostředek v libovolné tabulce, ke které má udělený přístup.

    Toto nastavení je výchozí pro všechny pracovní prostory vytvořené před březnem 2019.

  • Použijte oprávnění k prostředku nebo pracovnímu prostoru. Tento řídicí režim umožňuje podrobné řízení přístupu na základě role v Azure. Uživatelům je možné udělit přístup jenom k datům přidruženým k prostředkům, které můžou zobrazit přiřazením oprávnění Azure read .

    Když uživatel přistupuje k pracovnímu prostoru v režimu kontextu pracovního prostoru, použijí se oprávnění pracovního prostoru. Když uživatel přistupuje k pracovnímu prostoru v režimu kontextu prostředku, ověřují se pouze oprávnění k prostředkům a oprávnění pracovního prostoru se ignorují. Povolte azure RBAC pro uživatele tím, že ho odeberete z oprávnění pracovního prostoru a povolíte jejich rozpoznání oprávnění k prostředkům.

    Toto nastavení je výchozí pro všechny pracovní prostory vytvořené po březnu 2019.

    Poznámka:

    Pokud má uživatel k pracovnímu prostoru oprávnění pouze k prostředkům, může k pracovnímu prostoru přistupovat pouze pomocí režimu kontextu prostředku za předpokladu, že je režim přístupu k pracovnímu prostoru nastavený na Použít oprávnění k prostředku nebo pracovnímu prostoru.

Konfigurace režimu řízení přístupu pro pracovní prostor

V nabídce pracovního prostoru služby Log Analytics zobrazte aktuální režim řízení přístupu k pracovnímu prostoru na stránce Přehled pracovního prostoru.

Snímek obrazovky znázorňující režim řízení přístupu k pracovnímu prostoru

Toto nastavení změňte na stránce Vlastnosti pracovního prostoru. Pokud nemáte oprávnění ke konfiguraci pracovního prostoru, je změna nastavení zakázaná.

Snímek obrazovky znázorňující změnu režimu přístupu k pracovnímu prostoru

Azure RBAC

Přístup k pracovnímu prostoru se spravuje pomocí Azure RBAC. Pokud chcete udělit přístup k pracovnímu prostoru Služby Log Analytics pomocí oprávnění Azure, postupujte podle pokynů v tématu Přiřazení rolí Azure ke správě přístupu k prostředkům předplatného Azure.

Oprávnění pracovního prostoru

Každý pracovní prostor může mít přidružených více účtů. Každý účet může mít přístup k více pracovním prostorům. Následující tabulka uvádí oprávnění Azure pro různé akce pracovního prostoru:

Akce Potřebná oprávnění Azure Notes
Změňte cenovou úroveň. Microsoft.OperationalInsights/workspaces/*/write
Vytvořte pracovní prostor na webu Azure Portal. Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/workspaces/*
Zobrazte základní vlastnosti pracovního prostoru a zadejte podokno pracovního prostoru na portálu. Microsoft.OperationalInsights/workspaces/read
Dotazování protokolů pomocí libovolného rozhraní Microsoft.OperationalInsights/workspaces/query/read
Přístup ke všem typům protokolů pomocí dotazů Microsoft.OperationalInsights/workspaces/query/*/read
Přístup ke konkrétní tabulce protokolu – starší metoda Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Přečtěte si klíče pracovního prostoru a povolte odesílání protokolů do tohoto pracovního prostoru. Microsoft.OperationalInsights/workspaces/sharedKeys/action
Vytvoření nebo aktualizace souhrnného pravidla Microsoft.Operationalinsights/workspaces/summarylogs/write
Přidání a odebrání řešení monitorování Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Automation/*
Microsoft.Resources/deployments/*/write

Tato oprávnění je potřeba udělit na úrovni skupiny prostředků nebo předplatného.
Zobrazení dat na dlaždicích řešení Backup a Site Recovery Správce/spolusprávce

Přistupuje k prostředkům nasazeným pomocí modelu nasazení Classic.
Spusťte úlohu hledání. Microsoft.OperationalInsights/workspaces/tables/write
Microsoft.OperationalInsights/workspaces/searchJobs/write
Obnovte data z dlouhodobého uchovávání. Microsoft.OperationalInsights/workspaces/tables/write
Microsoft.OperationalInsights/workspaces/restoreLogs/write

Předdefinované role

Přiřaďte uživatelům tyto role, abyste jim mohli udělit přístup v různých oborech:

  • Předplatné: Přístup ke všem pracovním prostorům v předplatném
  • Skupina prostředků: Přístup ke všem pracovním prostorům ve skupině prostředků
  • Prostředek: Přístup pouze k zadanému pracovnímu prostoru

Vytvořte přiřazení na úrovni zdroje (pracovního prostoru), abyste zajistili přesné řízení přístupu. Pomocí vlastních rolí můžete vytvářet role s konkrétními požadovanými oprávněními.

Poznámka:

Pokud chcete přidat a odebrat uživatele do role uživatele, musíte mít a Microsoft.Authorization/*/Write mít Microsoft.Authorization/*/Delete oprávnění.

Čtenář Log Analytics

Členové role Čtenář Log Analytics můžou zobrazit všechna nastavení monitorování a monitorování, včetně konfigurace diagnostiky Azure pro všechny prostředky Azure. Umožňuje členům zobrazit všechna data o prostředcích v rámci přiřazeného oboru, včetně:

  • Umožňuje zobrazit a prohledat všechna data monitorování.
  • Zobrazení nastavení monitorování, včetně zobrazení konfigurace diagnostiky Azure pro všechny prostředky Azure

Role Čtenář Log Analytics zahrnuje následující akce Azure:

Typ Oprávnění Popis
Akce */read Možnost zobrazit všechny prostředky Azure a konfiguraci prostředků
To zahrnuje zobrazení:
– Stav rozšíření virtuálního počítače.
– Konfigurace diagnostiky Azure pro prostředky.
– Všechny vlastnosti a nastavení všech prostředků.

U pracovních prostorů umožňuje úplná neomezená oprávnění ke čtení nastavení pracovního prostoru a dotazování dat. Podívejte se na podrobnější možnosti v předchozím seznamu.
Akce Microsoft.Support/* Možnost otevírat případy podpory
Jiný než akce Microsoft.OperationalInsights/workspaces/sharedKeys/read Zabrání čtení klíče pracovního prostoru potřebného k použití rozhraní API pro shromažďování dat a instalaci agentů. Tím zabráníte uživateli v přidávání nových prostředků do pracovního prostoru.

Přispěvatel Log Analytics

Členové role Přispěvatel Log Analytics můžou provádět:

  • Přečtěte si všechna data monitorování udělená rolí čtenáře Log Analytics.
  • Úprava nastavení monitorování pro prostředky Azure, včetně:
    • Přidání rozšíření virtuálního počítače do virtuálních počítačů
    • Konfigurace diagnostiky Azure pro všechny prostředky Azure
  • Vytvořte a nakonfigurujte účty Automation. Oprávnění musí být uděleno na úrovni skupiny prostředků nebo předplatného.
  • Přidání a odebrání řešení pro správu Oprávnění musí být uděleno na úrovni skupiny prostředků nebo předplatného.
  • Čtení klíčů účtu úložiště
  • Nakonfigurujte kolekci protokolů ze služby Azure Storage.
  • Nakonfigurujte pravidla exportu dat.
  • Spusťte úlohu hledání.
  • Obnovte data z dlouhodobého uchovávání.

Upozorňující

Pomocí oprávnění můžete do virtuálního počítače přidat rozšíření virtuálního počítače, abyste získali plnou kontrolu nad virtuálním počítačem.

Role Přispěvatel Log Analytics zahrnuje následující akce Azure:

Oprávnění Popis
*/read Možnost zobrazit všechny prostředky Azure a konfiguraci prostředků

To zahrnuje zobrazení:
– Stav rozšíření virtuálního počítače.
– Konfigurace diagnostiky Azure pro prostředky.
– Všechny vlastnosti a nastavení všech prostředků.

U pracovních prostorů umožňuje úplná neomezená oprávnění ke čtení nastavení pracovního prostoru a dotazování dat. Podívejte se na podrobnější možnosti v předchozím seznamu.
Microsoft.Automation/automationAccounts/* Možnost vytvářet a konfigurovat účty Azure Automation, včetně přidávání a úprav runbooků
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
Přidejte, aktualizujte a odeberte rozšíření virtuálních počítačů, včetně rozšíření Microsoft Monitoring Agent a rozšíření OMS Agent pro Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/listKeys/action
Zobrazení klíče účtu úložiště. Vyžaduje se ke konfiguraci Log Analytics pro čtení protokolů z účtů Azure Storage.
Microsoft.Insights/alertRules/* Přidání, aktualizace a odebrání pravidel upozornění
Microsoft.Insights/diagnosticSettings/* Přidání, aktualizace a odebrání nastavení diagnostiky u prostředků Azure
Microsoft.OperationalInsights/* Přidání, aktualizace a odebrání konfigurace pro pracovní prostory služby Log Analytics Pokud chcete upravit upřesňující nastavení pracovního prostoru, potřebuje Microsoft.OperationalInsights/workspaces/writeuživatel .
Microsoft.OperationsManagement/* Přidání a odebrání řešení pro správu
Microsoft.Resources/deployments/* Vytvoření a odstranění nasazení. Vyžaduje se pro přidávání a odebírání řešení, pracovních prostorů a účtů Automation.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Vytvoření a odstranění nasazení. Vyžaduje se pro přidávání a odebírání řešení, pracovních prostorů a účtů Automation.

Oprávnění k prostředkům

Pokud chcete číst data z pracovního prostoru nebo je posílat do pracovního prostoru v kontextu prostředku, potřebujete k prostředku tato oprávnění:

Oprávnění Popis
Microsoft.Insights/logs/*/read Možnost zobrazit všechna data protokolu pro prostředek
Microsoft.Insights/logs/<tableName>/read
Příklad:
Microsoft.Insights/logs/Heartbeat/read
Možnost zobrazit konkrétní tabulku pro tento prostředek – starší metoda
Microsoft.Insights/diagnosticSettings/write Možnost konfigurovat nastavení diagnostiky tak, aby umožňovala nastavení protokolů pro tento prostředek

Oprávnění /read se obvykle uděluje z role, která zahrnuje */čtení nebo * oprávnění, například předdefinované role Čtenář a Přispěvatel . Vlastní role, které zahrnují konkrétní akce nebo vyhrazené předdefinované role, nemusí toto oprávnění obsahovat.

Příklady vlastních rolí

Kromě použití předdefinovaných rolí pro pracovní prostor služby Log Analytics můžete vytvořit vlastní role pro přiřazení podrobnějších oprávnění. Tady je několik běžných příkladů.

Příklad 1: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků.

  • Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění k pracovnímu prostoru nebo prostředku.
  • Udělte uživatelům nebo Microsoft.Insights/logs/*/read oprávnění k jejich prostředkům*/read. Pokud už mají v pracovním prostoru přiřazenou roli Čtenář Log Analytics, stačí.

Příklad 2: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků a spuštění úlohy vyhledávání.

  • Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění k pracovnímu prostoru nebo prostředku.
  • Udělte uživatelům nebo Microsoft.Insights/logs/*/read oprávnění k jejich prostředkům*/read. Pokud už mají v pracovním prostoru přiřazenou roli Čtenář Log Analytics, stačí.
  • Udělte uživatelům následující oprávnění k pracovnímu prostoru:
    • Microsoft.OperationalInsights/workspaces/tables/write: Vyžaduje se, aby bylo možné vytvořit tabulku výsledků hledání (_SRCH).
    • Microsoft.OperationalInsights/workspaces/searchJobs/write: Vyžaduje se, aby bylo možné spustit operaci úlohy vyhledávání.

Příklad 3: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků a nakonfigurujte své prostředky tak, aby odesílaly protokoly do pracovního prostoru služby Log Analytics.

  • Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění k pracovnímu prostoru nebo prostředku.
  • Udělte uživatelům následující oprávnění k pracovnímu prostoru: Microsoft.OperationalInsights/workspaces/read a Microsoft.OperationalInsights/workspaces/sharedKeys/action. S těmito oprávněními nemůžou uživatelé provádět žádné dotazy na úrovni pracovního prostoru. Můžou vytvořit výčet pouze pracovního prostoru a použít ho jako cíl pro nastavení diagnostiky nebo konfiguraci agenta.
  • Udělte uživatelům následující oprávnění k prostředkům: Microsoft.Insights/logs/*/read a Microsoft.Insights/diagnosticSettings/write. Pokud už mají přiřazenou roli Přispěvatel Log Analytics, přiřadí se mu role Čtenář nebo udělíte */read oprávnění k tomuto prostředku, stačí.

Příklad 4: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků, ale ne k odesílání protokolů do pracovního prostoru služby Log Analytics nebo ke čtení událostí zabezpečení.

  • Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění k pracovnímu prostoru nebo prostředku.
  • Udělte uživatelům následující oprávnění k prostředkům: Microsoft.Insights/logs/*/read.
  • Přidejte následující NonAction, aby uživatelé mohli číst typ SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. NonAction musí být ve stejné vlastní roli jako akce, která poskytuje oprávnění ke čtení (Microsoft.Insights/logs/*/read). Pokud uživatel zdědí akci čtení z jiné role přiřazené k tomuto prostředku nebo k předplatnému nebo skupině prostředků, může číst všechny typy protokolů. Tento scénář platí i v případě, že dědí */read , například s rolí Čtenář nebo Přispěvatel.

Příklad 5: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků a všem přihlášením k Microsoft Entra a čtení dat protokolu řešení Update Management v pracovním prostoru služby Log Analytics.

  • Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění k pracovnímu prostoru nebo prostředku.
  • Udělte uživatelům následující oprávnění k pracovnímu prostoru:
    • Microsoft.OperationalInsights/workspaces/read: Vyžaduje se, aby uživatel mohl vytvořit výčet pracovního prostoru a otevřít podokno pracovního prostoru na webu Azure Portal.
    • Microsoft.OperationalInsights/workspaces/query/read: Vyžaduje se pro každého uživatele, který může spouštět dotazy.
    • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Chcete-li číst protokoly přihlašování Microsoft Entra
    • Microsoft.OperationalInsights/workspaces/query/Update/read: Čtení protokolů řešení Update Management
    • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Čtení protokolů řešení Update Management
    • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Čtení protokolů řešení Update Management
    • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Vyžaduje se, aby bylo možné používat řešení Update Management.
    • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Vyžaduje se, aby bylo možné používat řešení Update Management.
  • Udělte uživatelům následující oprávnění ke svým prostředkům: */read, přiřazené k roli Čtenář nebo Microsoft.Insights/logs/*/read

Příklad 6: Omezte uživatele v obnovení dat z dlouhodobého uchovávání.

  • Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění k pracovnímu prostoru nebo prostředku.
  • Přiřaďte uživatele k roli Přispěvatel Log Analytics.
  • Přidejte následující NonAction, které uživatelům zablokuje obnovení dat z dlouhodobého uchovávání: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Nastavení přístupu pro čtení na úrovni tabulky

Viz Správa přístupu ke čtení na úrovni tabulky.

Další kroky