Administración del acceso a las áreas de trabajo de Log Analytics
Los factores que determinan los datos a los que puede acceder en un área de trabajo de Log Analytics son:
- Configuración de la propia área de trabajo.
- Los permisos de acceso a los recursos que envían datos al área de trabajo.
- Método utilizado para acceder al área de trabajo.
En este artículo se describe cómo administrar el acceso a los datos en un área de trabajo de Log Analytics.
Información general
Los factores que definen los datos a los que puede acceder se describen en la tabla siguiente. Cada factor se describe con más detalle en las secciones siguientes.
Factor | Descripción |
---|---|
Modo de acceso | Método utilizado para acceder al área de trabajo. Define el ámbito de los datos disponibles y el modo de control de acceso que se aplica. |
Modo de control de acceso | Configuración en el área de trabajo que define si los permisos se aplican en el nivel de área de trabajo o recurso. |
Control de acceso basado en rol (RBAC) de Azure | Permisos aplicados a usuarios individuales o grupos de usuarios para el área de trabajo o el recurso que envía datos al área de trabajo. Define los datos a los que tendrá acceso. |
Permiso de Azure RBAC de nivel de tabla | Permisos opcionales que definen los tipos de datos específicos del área de trabajo a los que puede acceder. Se puede aplicar a todos los modos de acceso o a los modos de control de acceso. |
Modo de acceso
El modo de acceso hace referencia a cómo accede a un área de trabajo de Log Analytics y define los datos a los que puede tener acceso durante la sesión actual. El modo se determina según el ámbito que seleccione en Log Analytics.
Hay dos modos de acceso:
- Contexto del área de trabajo: puede ver todos los registros del área de trabajo para los que tenga permiso. Las consultas en este modo se limitan a todos los datos de todas las tablas a las que tiene acceso en el área de trabajo. Este es el modo de acceso utilizado cuando se accede a los registros con el área de trabajo como ámbito, como cuando se selecciona Registros desde el menú Azure Monitor en Azure Portal.
- Contexto del recurso: al acceder al área de trabajo para un recurso, un grupo de recursos o una suscripción determinados (por ejemplo, cuando se selecciona Registros en un menú de recursos de Azure Portal), puede ver los registros solo de los recursos de todas las tablas a las que tiene acceso. Las consultas de este modo se limitan solo a los datos asociados a ese recurso. Este modo también permite Azure RBAC pormenorizado. Las áreas de trabajo usan un modelo de registro de contexto del recurso donde cada entrada del registro emitida por un recurso de Azure se asocia automáticamente a este recurso.
Los registros solo están disponibles en las consultas del contexto del recurso si están asociados al recurso pertinente. Para comprobar esta asociación, ejecute una consulta y compruebe que se haya rellenado la columna _ResourceId.
Existen limitaciones conocidas con los siguientes recursos:
- Equipos fuera de Azure: el contexto de recurso solo se admite con Azure Arc para servidores.
- Application Insights: solo se admite para el contexto de recurso cuando se usa un recurso de Application Insights basado en el área de trabajo.
- Azure Service Fabric
Comparación de los modos de acceso
En la tabla siguiente se resumen los modos de acceso:
Incidencia | Contexto del área de trabajo | Contexto del recurso |
---|---|---|
¿Para quién está pensado cada modelo? | Administración central. Los administradores que tienen que configurar colecciones de datos y los usuarios que necesitan acceder a una amplia variedad de recursos. También lo requieren actualmente los usuarios que necesitan acceder a registros de recursos fuera de Azure. |
Equipos de la aplicación. Los administradores de los recursos de Azure que se están supervisando. Les permite centrarse en su recurso sin filtrar. |
¿Qué requiere un usuario para ver los registros? | Permisos para el área de trabajo. Consulte "Permisos del área de trabajo" en Administración del acceso mediante permisos del área de trabajo. |
Acceso de lectura al recurso. Consulte "Permisos de recurso" en Administración del acceso mediante permisos de Azure. Los permisos se pueden heredar del grupo de recursos o suscripción o asignar directamente al recurso. Se asignará automáticamente el permiso a los registros para el recurso. El usuario no requiere acceso al área de trabajo. |
¿Qué es el ámbito de los permisos? | Área de trabajo. Los usuarios con acceso al área de trabajo pueden consultar todos los registros del área de trabajo desde las tablas para las que tengan permisos. Consulte Establecimiento del acceso de lectura de nivel de tabla. |
Recurso de Azure. Un usuario puede consultar los registros de recursos, grupos de recursos o suscripciones específicos a los que tenga acceso en cualquier área de trabajo, pero no puede consultar los registros de otros recursos. |
¿Cómo puede el usuario acceder a los registros? | Seleccione Registros en el menú Azure Monitor. Seleccione Registros desde las áreas de trabajo de Log Analytics. Desde los libros de Azure Monitor. |
Seleccione Registros en el menú del recurso de Azure. Los usuarios tendrán acceso a los datos de ese recurso. Seleccione Registros en el menú Azure Monitor. Los usuarios tendrán acceso a los datos de todos los recursos a los que tengan acceso. Seleccione Registros de Áreas de trabajo de Log Analytics, si los usuarios tienen acceso al área de trabajo. Desde los libros de Azure Monitor. |
Modo de control de acceso
El modo de control de acceso es una configuración de cada área de trabajo que define cómo se determinan los permisos para el área de trabajo.
Requerir permisos de área de trabajo. Este modo de control no admite RBAC granular de Azure. Para acceder al área de trabajo, el usuario debe tener permisos concedidos en el área de trabajo o en tablas específicas.
Si un usuario accede al área de trabajo en el modo de contexto del área de trabajo, tendrá acceso a todos los datos de todas las tablas a las que se le haya concedido acceso. Si un usuario accede al área de trabajo en el modo de contexto del recurso, tendrá acceso solo a los datos de ese recurso en todas las tablas a las que se le haya concedido acceso.
Es la configuración predeterminada para todas las áreas de trabajo creadas antes de marzo de 2019.
Usar permisos de recurso o de área de trabajo. este modo de control permite Azure RBAC granular. A los usuarios se les puede conceder acceso solo a los datos asociados a los recursos que pueden ver mediante la asignación del permiso
read
de Azure.Cuando un usuario accede al área de trabajo en modo contexto del área de trabajo, se aplican los permisos del área de trabajo. Cuando un usuario accede al área de trabajo en modo contexto del recurso, solo se comprueban los permisos de los recursos y se omiten los del área de trabajo. Para habilitar Azure RBAC para un usuario, quítelos de los permisos del área de trabajo y permita que sus permisos de recursos sean reconocidos.
Es la configuración predeterminada para todas las áreas de trabajo creadas después de marzo de 2019.
Nota
Si un usuario solo tiene permisos de recurso en el área de trabajo, solo podrá acceder al área de trabajo mediante el modo de contexto de recurso, siempre que el modo de acceso al área de trabajo esté establecido en Usar permisos de recurso o de área de trabajo.
Configuración del modo de control de acceso para un área de trabajo
Vea el modo de control de acceso del área de trabajo actual en la página Introducción del área de trabajo en el menú Área de trabajo de Log Analytics.
Cambie esta configuración en la página Propiedades del área de trabajo. Si no tiene permisos para configurar el área de trabajo, el cambio de la configuración está deshabilitado.
Azure RBAC
El acceso a un área de trabajo se administra mediante RBAC de Azure. Para conceder acceso al área de trabajo de Log Analytics mediante permisos de Azure, siga los pasos que se describen en Asignación de roles de Azure para administrar el acceso a los recursos de la suscripción de Azure.
Permisos de área de trabajo
Cada área de trabajo puede tener varias cuentas asociadas. Cada cuenta puede acceder a varias áreas de trabajo. En la tabla siguiente se enumeran los permisos de Azure para las diferentes acciones del área de trabajo:
Acción | Permisos de Azure necesarios | Notas |
---|---|---|
Cambiar el plan de tarifa. | Microsoft.OperationalInsights/workspaces/*/write |
|
Creación de un área de trabajo en Azure Portal. | Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/* |
|
Ver las propiedades básicas del área de trabajo y entrar al panel del área de trabajo en el portal. | Microsoft.OperationalInsights/workspaces/read |
|
Consultar los registros con cualquier interfaz. | Microsoft.OperationalInsights/workspaces/query/read |
|
Acceder a todos los tipos de registros mediante consultas. | Microsoft.OperationalInsights/workspaces/query/*/read |
|
Acceso a una tabla de registro específica: método heredado | Microsoft.OperationalInsights/workspaces/query/<table_name>/read |
|
Leer las claves del área de trabajo para permitir el envío de registros a esta área de trabajo. | Microsoft.OperationalInsights/workspaces/sharedKeys/action |
|
Crear o actualizar una regla de resumen | Microsoft.Operationalinsights/workspaces/summarylogs/write |
|
Agregar y quitar soluciones de supervisión. | Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Es necesario conceder estos permisos en el nivel de suscripción o grupo de recursos. |
|
Ver datos en los iconos de las soluciones Backup y Site Recovery. | Administrador o coadministrador Accede a los recursos implementados mediante el modelo de implementación clásica. |
|
Ejecución de un trabajo de búsqueda. | Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write |
|
Restaure los datos a partir de la retención a largo plazo. | Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write |
Roles integrados
Asigne usuarios a estos roles para concederles acceso en distintos ámbitos:
- Suscripción: acceso a todas las áreas de trabajo de la suscripción
- Grupo de recursos: acceso a todas las áreas de trabajo del grupo de recursos
- Recurso: acceso solo al área de trabajo especificada
Cree asignaciones en el nivel de recurso (área de trabajo) para asegurarse de que el control de acceso es preciso. Use roles personalizados para crear roles con los permisos específicos necesarios.
Nota:
Para agregar y quitar usuarios de un rol de usuario, debe tener los permisos Microsoft.Authorization/*/Delete
y Microsoft.Authorization/*/Write
.
Lector de Log Analytics
Los miembros del rol Lector de Log Analytics pueden ver todos los datos y la configuración de supervisión, incluida la configuración de Azure Diagnostics en todos los recursos de Azure.
Los miembros del rol Lector de Log Analytics pueden:
- Ver y buscar todos los datos de supervisión.
- Ver la configuración de supervisión, incluida la visualización de la configuración de Azure Diagnostics en todos los recursos de Azure.
El rol Lector de Log Analytics incluye las siguientes acciones de Azure:
Tipo | Permiso | Descripción |
---|---|---|
Acción | */read |
Capacidad para ver todos los recursos de Azure y la configuración de los recursos. Incluye la visualización de: - Estado de la extensión de máquina virtual. - Configuración de diagnósticos de Azure en los recursos. - Todas las propiedades y configuraciones de todos los recursos En el caso de las áreas de trabajo, permite permisos completos sin restricciones para leer la configuración del área de trabajo y consultar los datos. Consulte opciones más detalladas en la lista anterior. |
Acción | Microsoft.Support/* |
Capacidad de abrir casos de soporte técnico. |
No acción | Microsoft.OperationalInsights/workspaces/sharedKeys/read |
Evita la lectura de la clave del área de trabajo necesaria para usar la API de recopilación de datos e instalar agentes. Esto impide que el usuario agregue nuevos recursos al área de trabajo. |
Colaborador de Log Analytics
Los miembros del rol Colaborador de Log Analytics pueden:
- Leer todos los datos de supervisión concedidos por el rol de lector de Log Analytics.
- Editar la configuración de supervisión de los recursos de Azure, lo que incluye:
- Agregar la extensión de máquina virtual a las máquinas virtuales.
- Configurar los diagnósticos de Azure en todos los recursos de Azure.
- Crear y configurar cuentas de Automation. Los permisos se deben conceder en el nivel de suscripción o grupo de recursos.
- Agregar y eliminar soluciones de administración. Los permisos se deben conceder en el nivel de suscripción o grupo de recursos.
- Leer las claves de la cuenta de almacenamiento.
- Configurar la recopilación de registros de Azure Storage.
- Configure reglas de exportación de datos.
- Ejecute un trabajo de búsqueda.
- Restaure los datos a partir de la retención a largo plazo.
Advertencia
Puede usar el permiso a fin de agregar una extensión de máquina virtual a una máquina virtual para obtener el control total sobre una máquina virtual.
El rol Colaborador de Log Analytics incluye las siguientes acciones de Azure:
Permiso | Descripción |
---|---|
*/read |
Capacidad para ver todos los recursos de Azure y la configuración de los recursos. Incluye la visualización de: - Estado de la extensión de máquina virtual. - Configuración de diagnósticos de Azure en los recursos. - Todas las propiedades y configuraciones de todos los recursos En el caso de las áreas de trabajo, permite permisos completos sin restricciones para leer la configuración del área de trabajo y consultar los datos. Consulte opciones más detalladas en la lista anterior. |
Microsoft.Automation/automationAccounts/* |
Capacidad para crear y configurar cuentas de Azure Automation, incluido agregar y editar runbooks. |
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/* |
Agregar, actualizar y eliminar extensiones de máquina virtual, incluida la extensión de Microsoft Monitoring Agent y el agente de OMS para la extensión de Linux. |
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action |
Ver la clave de la cuenta de almacenamiento. Necesaria para configurar Log Analytics para leer los registros de las cuentas de Azure Storage. |
Microsoft.Insights/alertRules/* |
Agregar, actualizar y eliminar reglas de alertas. |
Microsoft.Insights/diagnosticSettings/* |
Agregar, actualizar y eliminar la configuración de diagnósticos en los recursos de Azure. |
Microsoft.OperationalInsights/* |
Agregar, actualizar y eliminar la configuración de áreas de trabajo de Log Analytics. Para editar la configuración avanzada del área de trabajo, el usuario necesita Microsoft.OperationalInsights/workspaces/write . |
Microsoft.OperationsManagement/* |
Agregar y eliminar soluciones de administración. |
Microsoft.Resources/deployments/* |
Crear y eliminar implementaciones. Necesario para agregar y eliminar soluciones, áreas de trabajo y cuentas de Automation. |
Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
Crear y eliminar implementaciones. Necesario para agregar y eliminar soluciones, áreas de trabajo y cuentas de Automation. |
Permisos de recurso
Para leer o enviar datos a un área de trabajo en el contexto de recursos, necesita estos permisos en el recurso:
Permiso | Descripción |
---|---|
Microsoft.Insights/logs/*/read |
Capacidad para ver todos los datos de registro del recurso |
Microsoft.Insights/logs/<tableName>/read Ejemplo: Microsoft.Insights/logs/Heartbeat/read |
Capacidad de ver una tabla específica para este recurso: método heredado |
Microsoft.Insights/diagnosticSettings/write |
Capacidad para configurar diagnósticos a fin de permitir la configuración de los registros de este recurso |
El permiso /read
se suele conceder desde un rol que incluye los permisos */read o *, como los roles integrados Lector y Colaborador. Los roles personalizados que contienen acciones específicas o roles integrados dedicados no incluyen este permiso.
Roles personalizados de ejemplo
Además de usar los roles integrados para un área de trabajo de Log Analytics, puede crear roles personalizados para asignar permisos más pormenorizados. Estos son algunos ejemplos comunes.
Ejemplo 1: conceder a un usuario permiso para leer datos de registro de sus recursos.
- Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
- Conceda a los usuarios los permisos
*/read
oMicrosoft.Insights/logs/*/read
a sus recursos. Si ya se les ha asignado el rol Lector de Log Analytics en el área de trabajo, es suficiente.
Ejemplo 2: conceder a un usuario permiso para leer datos de registro de sus recursos y ejecutar un trabajo de búsqueda.
- Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
- Conceda a los usuarios los permisos
*/read
oMicrosoft.Insights/logs/*/read
a sus recursos. Si ya se les ha asignado el rol Lector de Log Analytics en el área de trabajo, es suficiente. - Conceda a los usuarios los permisos siguientes en el área de trabajo:
Microsoft.OperationalInsights/workspaces/tables/write
: Necesario para poder crear la tabla de resultados de búsqueda (_SRCH).Microsoft.OperationalInsights/workspaces/searchJobs/write
: necesario para permitir la ejecución de la operación de trabajo de búsqueda.
Ejemplo 3: conceder a un usuario permiso para leer datos de registro de sus recursos y configurar sus recursos para que envíen registros al área de trabajo de Log Analytics.
- Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
- Conceda a los usuarios los permisos siguientes en el área de trabajo:
Microsoft.OperationalInsights/workspaces/read
yMicrosoft.OperationalInsights/workspaces/sharedKeys/action
. Con estos permisos, los usuarios no pueden realizar consultas en el nivel de área de trabajo. Solo pueden enumerar el área de trabajo y usarla como destino para la configuración de diagnóstico o del agente. - Conceda a los usuarios los permisos siguientes a sus recursos:
Microsoft.Insights/logs/*/read
yMicrosoft.Insights/diagnosticSettings/write
. Si ya se les ha asignado el rol Colaborador de Log Analytics, el rol Lector o se les ha concedido permisos*/read
en este recurso, es suficiente.
Ejemplo 4: conceder a un usuario permiso para leer datos de registro de sus recursos, pero no para enviar registros al área de trabajo de Log Analytics o leer eventos de seguridad.
- Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
- Conceda a los usuarios los permisos siguientes a sus recursos:
Microsoft.Insights/logs/*/read
. - Agregue el atributo NonAction siguiente para impedir que los usuarios lean el tipo SecurityEvent:
Microsoft.Insights/logs/SecurityEvent/read
. El atributo NonAction debe estar en el mismo rol personalizado que la acción que proporciona el permiso de lectura (Microsoft.Insights/logs/*/read
). Si el usuario hereda la acción de lectura de otro rol asignado a este recurso, a la suscripción o al grupo de recursos, podrá leer todos los tipos de registro. Esto también ocurre si hereda un permiso*/read
que ya existe, por ejemplo, con el rol Lector o Colaborador.
Ejemplo 5: Conceder a un usuario permiso para leer los datos de registro de sus recursos y todos los datos de registro de inicio de sesión de Microsoft Entra y leer los datos de registro de la solución Update Management en el área de trabajo Log Analytics.
- Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
- Conceda a los usuarios los permisos siguientes en el área de trabajo:
Microsoft.OperationalInsights/workspaces/read
: necesario para que el usuario pueda enumerar el área de trabajo y abrir el panel del área de trabajo en Azure PortalMicrosoft.OperationalInsights/workspaces/query/read
: necesario para todos los usuarios que pueden ejecutar consultasMicrosoft.OperationalInsights/workspaces/query/SigninLogs/read
: para poder leer los registros de inicio de sesión de Microsoft EntraMicrosoft.OperationalInsights/workspaces/query/Update/read
: para poder leer los registros de la solución Update ManagementMicrosoft.OperationalInsights/workspaces/query/UpdateRunProgress/read
: para poder leer los registros de la solución Update ManagementMicrosoft.OperationalInsights/workspaces/query/UpdateSummary/read
: para poder leer los registros de Update ManagementMicrosoft.OperationalInsights/workspaces/query/Heartbeat/read
: necesario para poder usar las soluciones de Update ManagementMicrosoft.OperationalInsights/workspaces/query/ComputerGroup/read
: necesario para poder usar las soluciones de Update Management
- Conceder a los usuarios los permisos siguientes para sus recursos:
*/read
, asignado al rol Lector, oMicrosoft.Insights/logs/*/read
Ejemplo 6: Restringir que un usuario restaure los datos de la retención a largo plazo.
- Configure el modo de control de acceso del área de trabajo para usar permisos de recursos o áreas de trabajo.
- Asigne al usuario el rol Colaborador de Log Analytics.
- Agregue la siguiente NonAction para impedir que los usuarios restauren los datos de la retención a largo plazo:
Microsoft.OperationalInsights/workspaces/restoreLogs/write
Establecimiento del acceso de lectura de nivel de tabla
Consulte Administración del acceso de lectura a nivel de tabla.
Pasos siguientes
- Consulte la información general sobre el agente de Log Analytics para recopilar datos de los equipos de su centro de datos u otro entorno de nube.
- Consulte Recopilación de datos de máquinas virtuales de Azure para configurar la recopilación de datos de máquinas virtuales de Azure.