Delen via


Toegang tot Log Analytics-werkruimten beheren

De factoren die bepalen welke gegevens u kunt openen in een Log Analytics-werkruimte zijn:

  • De instellingen in de werkruimte zelf.
  • Uw toegangsmachtigingen voor resources die gegevens naar de werkruimte verzenden.
  • De methode die wordt gebruikt voor toegang tot de werkruimte.

In dit artikel wordt beschreven hoe u de toegang tot gegevens in een Log Analytics-werkruimte beheert.

Overzicht

De factoren die de gegevens definiëren waartoe u toegang hebt, worden beschreven in de volgende tabel. Elke factor wordt verder beschreven in de volgende secties.

Factor Beschrijving
Toegangsmodus De methode die wordt gebruikt voor toegang tot de werkruimte. Hiermee definieert u het bereik van de beschikbare gegevens en de toegangsbeheermodus die wordt toegepast.
Toegangsbeheermodus Instelling voor de werkruimte die bepaalt of machtigingen worden toegepast op werkruimte- of resourceniveau.
Toegangsbeheer op basis van rollen in Azure (RBAC) Machtigingen die zijn toegepast op personen of groepen gebruikers voor de werkruimte of resource die gegevens naar de werkruimte verzenden. Definieert tot welke gegevens u toegang hebt.
Azure RBAC op tabelniveau Optionele machtigingen die specifieke gegevenstypen definiëren in de werkruimte waartoe u toegang hebt. Kan worden toegepast op alle toegangsmodi of toegangsbeheermodi.

Toegangsmodus

De toegangsmodus verwijst naar hoe u toegang krijgt tot een Log Analytics-werkruimte en definieert de gegevens die u tijdens de huidige sessie kunt openen. De modus wordt bepaald op basis van het bereik dat u selecteert in Log Analytics.

Er zijn twee toegangsmodi:

  • Werkruimtecontext: u kunt alle logboeken weergeven in de werkruimte waarvoor u gemachtigd bent. Query's in deze modus zijn gericht op alle gegevens in tabellen waartoe u toegang hebt in de werkruimte. Deze toegangsmodus wordt gebruikt wanneer logboeken worden geopend met de werkruimte als bereik, bijvoorbeeld wanneer u Logboeken selecteert in het menu Azure Monitor in Azure Portal.
  • Resourcecontext: Wanneer u toegang hebt tot de werkruimte voor een bepaalde resource, resourcegroep of abonnement, zoals wanneer u Logboeken selecteert in een resourcemenu in Azure Portal, kunt u logboeken weergeven voor alleen resources in alle tabellen waartoe u toegang hebt. Query's in deze modus zijn alleen gericht op gegevens die aan die resource zijn gekoppeld. Deze modus maakt ook gedetailleerde Azure RBAC mogelijk. Werkruimten maken gebruik van een resourcecontextlogboekmodel waarbij elke logboekrecord die door een Azure-resource wordt verzonden, automatisch aan deze resource wordt gekoppeld.

Records zijn alleen beschikbaar in resourcecontextquery's als ze zijn gekoppeld aan de relevante resource. Als u deze koppeling wilt controleren, voert u een query uit en controleert u of de kolom _ResourceId is ingevuld.

Er zijn bekende beperkingen met de volgende resources:

  • Computers buiten Azure: Resourcecontext wordt alleen ondersteund met Azure Arc voor servers.
  • Application Insights: alleen ondersteund voor resourcecontext wanneer u een Application Insights-resource op basis van een werkruimte gebruikt.
  • Azure Service Fabric

Toegangsmodi vergelijken

De volgende tabel bevat een overzicht van de toegangsmodi:

Probleem Werkruimtecontext Resourcecontext
Voor wie is elk model bedoeld? Centraal beheer.
Beheerders die gegevensverzameling en gebruikers moeten configureren die toegang nodig hebben tot een groot aantal resources. Momenteel is dit ook vereist voor gebruikers die toegang nodig hebben tot logboeken voor resources buiten Azure.
Toepassingsteams.
Beheerders van Azure-resources die worden bewaakt. Hiermee kunnen ze zich richten op hun resource zonder te filteren.
Wat heeft een gebruiker nodig om logboeken weer te geven? Machtigingen voor de werkruimte.
Zie Werkruimtemachtigingen in Toegang beheren met werkruimtemachtigingen.
Leestoegang tot de resource.
Zie Resourcemachtigingen in Toegang beheren met behulp van Azure-machtigingen. Machtigingen kunnen worden overgenomen van de resourcegroep of het abonnement of rechtstreeks worden toegewezen aan de resource. Machtigingen voor de logboeken voor de resource worden automatisch toegewezen. De gebruiker heeft geen toegang tot de werkruimte nodig.
Wat is het bereik van machtigingen? Werkruimte.
Gebruikers met toegang tot de werkruimte kunnen query's uitvoeren op alle logboeken in de werkruimte vanuit tabellen waarvoor ze machtigingen hebben. Zie Leestoegang op tabelniveau instellen.
Azure-resource.
Gebruikers kunnen query's uitvoeren op logboeken voor specifieke resources, resourcegroepen of abonnementen waarvoor ze toegang hebben in elke werkruimte, maar ze kunnen geen query's uitvoeren op logboeken voor andere resources.
Hoe kan een gebruiker logboeken openen? Selecteer Logboeken in het menu van Azure Monitor.

Selecteer Logboeken in Log Analytics-werkruimten.

Vanuit Azure Monitor-werkmappen.
Selecteer Logboeken in het menu voor de Azure-resource. Gebruikers hebben toegang tot gegevens voor die resource.

Selecteer Logboeken in het menu Van Azure Monitor . Gebruikers hebben toegang tot gegevens voor alle resources waar ze toegang toe hebben.

Selecteer Logboeken in Log Analytics-werkruimten als gebruikers toegang hebben tot de werkruimte.

Vanuit Azure Monitor-werkmappen.

Toegangsbeheermodus

De toegangsbeheermodus is een instelling voor elke werkruimte die definieert hoe machtigingen voor de werkruimte worden bepaald.

  • Werkruimtemachtigingen vereisen. Deze besturingsmodus staat geen gedetailleerde Azure RBAC toe. Voor toegang tot de werkruimte moet de gebruiker machtigingen krijgen voor de werkruimte of aan specifieke tabellen.

    Als een gebruiker toegang heeft tot de werkruimte in de werkruimtecontextmodus, heeft deze toegang tot alle gegevens in elke tabel waarvoor ze toegang hebben gekregen. Als een gebruiker toegang heeft tot de werkruimte in de resourcecontextmodus, heeft deze alleen toegang tot gegevens voor die resource in een tabel waartoe deze gebruiker toegang heeft.

    Deze instelling is de standaardinstelling voor alle werkruimten die vóór maart 2019 zijn gemaakt.

  • Gebruik resource- of werkruimtemachtigingen. Met deze besturingsmodus kunt u gedetailleerde Azure RBAC gebruiken. Gebruikers kunnen alleen toegang krijgen tot gegevens die zijn gekoppeld aan resources die ze kunnen bekijken door azure-machtigingen read toe te wijzen.

    Wanneer een gebruiker de werkruimte opent in de werkruimtecontextmodus, zijn werkruimtemachtigingen van toepassing. Wanneer een gebruiker de werkruimte opent in de resourcecontextmodus, worden alleen resourcemachtigingen geverifieerd en worden werkruimtemachtigingen genegeerd. Schakel Azure RBAC in voor een gebruiker door ze te verwijderen uit werkruimtemachtigingen en hun resourcemachtigingen te laten herkennen.

    Deze instelling is de standaardinstelling voor alle werkruimten die na maart 2019 zijn gemaakt.

    Notitie

    Als een gebruiker alleen resourcemachtigingen voor de werkruimte heeft, heeft deze alleen toegang tot de werkruimte met behulp van de resourcecontextmodus, ervan uitgaande dat de werkruimtetoegangsmodus is ingesteld op Resource- of werkruimtemachtigingen gebruiken.

De toegangsbeheermodus voor een werkruimte configureren

Bekijk de huidige modus voor toegangsbeheer voor werkruimten op de pagina Overzicht voor de werkruimte in het menu van de Log Analytics-werkruimte .

Schermopname van de toegangsbeheermodus voor werkruimten.

Wijzig deze instelling op de pagina Eigenschappen van de werkruimte. Als u geen machtigingen hebt om de werkruimte te configureren, wordt het wijzigen van de instelling uitgeschakeld.

Schermopname van het wijzigen van de toegangsmodus voor werkruimten.

Azure RBAC

Toegang tot een werkruimte wordt beheerd met behulp van Azure RBAC. Als u toegang wilt verlenen tot de Log Analytics-werkruimte met behulp van Azure-machtigingen, volgt u de stappen in Azure-rollen toewijzen om de toegang tot uw Azure-abonnementsbronnen te beheren.

Werkruimtemachtigingen

Aan elke werkruimte kunnen meerdere accounts zijn gekoppeld. Elk account heeft toegang tot meerdere werkruimten. De volgende tabel bevat de Azure-machtigingen voor verschillende werkruimteacties:

Actie Benodigde Azure-machtigingen Opmerkingen
Wijzig de prijscategorie. Microsoft.OperationalInsights/workspaces/*/write
Maak een werkruimte in Azure Portal. Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/workspaces/*
Bekijk de basiseigenschappen van de werkruimte en voer het werkruimtedeelvenster in de portal in. Microsoft.OperationalInsights/workspaces/read
Query's uitvoeren op logboeken met behulp van een interface. Microsoft.OperationalInsights/workspaces/query/read
Open alle logboektypen met behulp van query's. Microsoft.OperationalInsights/workspaces/query/*/read
Toegang tot een specifieke logboektabel - verouderde methode Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Lees de werkruimtesleutels om het verzenden van logboeken naar deze werkruimte toe te staan. Microsoft.OperationalInsights/workspaces/sharedKeys/action
Een samenvattingsregel maken of bijwerken Microsoft.Operationalinsights/workspaces/summarylogs/write
Bewakingsoplossingen toevoegen en verwijderen. Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Automation/*
Microsoft.Resources/deployments/*/write

Deze machtigingen moeten worden toegekend op het niveau van de resourcegroep of het abonnement.
Gegevens weergeven in de tegels van de Back-up- en Site Recovery-oplossing. Beheerder/co-beheerder

Hiermee opent u resources die zijn geïmplementeerd met behulp van het klassieke implementatiemodel.
Voer een zoektaak uit. Microsoft.OperationalInsights/workspaces/tables/write
Microsoft.OperationalInsights/workspaces/searchJobs/write
Herstel gegevens uit langetermijnretentie. Microsoft.OperationalInsights/workspaces/tables/write
Microsoft.OperationalInsights/workspaces/restoreLogs/write

Ingebouwde rollen

Wijs gebruikers toe aan deze rollen om ze toegang te geven tot verschillende bereiken:

  • Abonnement: Toegang tot alle werkruimten in het abonnement
  • Resourcegroep: Toegang tot alle werkruimten in de resourcegroep
  • Resource: alleen toegang tot de opgegeven werkruimte

Maak toewijzingen op resourceniveau (werkruimte) om nauwkeurig toegangsbeheer te garanderen. Gebruik aangepaste rollen om rollen te maken met de specifieke machtigingen die nodig zijn.

Notitie

Als u gebruikers aan een gebruikersrol wilt toevoegen en verwijderen, moet u beschikken over en Microsoft.Authorization/*/Write machtigingen hebbenMicrosoft.Authorization/*/Delete.

Lezer van Log Analytics

Leden van de rol Log Analytics Reader kunnen alle bewakingsgegevens en bewakingsinstellingen bekijken, inclusief de configuratie van Diagnostische gegevens van Azure op alle Azure-resources.

Leden van de rol Lezer van Log Analytics kunnen:

  • Alle bewakingsgegevens weergeven en doorzoeken.
  • Controlegegevens weergeven, inclusief de configuratie van Azure Diagnostics voor alle Azure-resources.

De rol Log Analytics Reader bevat de volgende Azure-acties:

Type Machtiging Beschrijving
Actie */read Mogelijkheid om alle Azure-resources en resourceconfiguratie weer te geven.
Omvat:
- Extensiestatus van virtuele machine.
- Configuratie van Diagnostische gegevens van Azure voor resources.
- Alle eigenschappen en instellingen van alle resources.

Voor werkruimten zijn volledige onbeperkte machtigingen toegestaan om de instellingen van de werkruimte te lezen en gegevens op te vragen. Bekijk meer gedetailleerde opties in de voorgaande lijst.
Actie Microsoft.Support/* Mogelijkheid om ondersteuningsaanvragen te openen.
Geen bewerking Microsoft.OperationalInsights/workspaces/sharedKeys/read Voorkomt het lezen van de werkruimtesleutel die is vereist voor het gebruik van de API voor gegevensverzameling en het installeren van agents. Hiermee voorkomt u dat de gebruiker nieuwe resources toevoegt aan de werkruimte.

Inzender van Log Analytics

Leden van de rol Inzender van Log Analytics kunnen:

  • Lees alle bewakingsgegevens die zijn verleend door de rol Log Analytics Reader.
  • Bewakingsinstellingen voor Azure-resources bewerken, waaronder:
    • De VM-extensie toevoegen aan VM's.
    • Diagnostische gegevens van Azure configureren voor alle Azure-resources.
  • Automation-accounts maken en configureren. De machtiging moet worden verleend op het niveau van de resourcegroep of het abonnement.
  • Beheeroplossingen toevoegen en verwijderen. De machtiging moet worden verleend op het niveau van de resourcegroep of het abonnement.
  • Opslagaccountsleutels lezen.
  • Configureer de verzameling logboeken van Azure Storage.
  • Regels voor gegevensexport configureren.
  • Voer een zoektaak uit.
  • Herstel gegevens uit langetermijnretentie.

Waarschuwing

U kunt de machtiging gebruiken om een virtuele-machineextensie toe te voegen aan een virtuele machine om volledige controle te krijgen over een virtuele machine.

De rol Log Analytics-inzender bevat de volgende Azure-acties:

Machtiging Beschrijving
*/read Mogelijkheid om alle Azure-resources en resourceconfiguratie weer te geven.

Omvat:
- Extensiestatus van virtuele machine.
- Configuratie van Diagnostische gegevens van Azure voor resources.
- Alle eigenschappen en instellingen van alle resources.

Voor werkruimten zijn volledige onbeperkte machtigingen toegestaan om de instellingen van de werkruimte te lezen en gegevens op te vragen. Bekijk meer gedetailleerde opties in de voorgaande lijst.
Microsoft.Automation/automationAccounts/* Mogelijkheid om Azure Automation-accounts te maken en te configureren, waaronder het toevoegen en bewerken van runbooks.
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
Extensies voor virtuele machines toevoegen, bijwerken en verwijderen, waaronder de Extensie Microsoft Monitoring Agent en de OMS Agent voor Linux-extensie.
Microsoft.ClassicStorage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/listKeys/action
Geef de opslagaccountsleutel weer. Vereist voor het configureren van Log Analytics voor het lezen van logboeken van Azure Storage-accounts.
Microsoft.Insights/alertRules/* Waarschuwingsregels toevoegen, bijwerken en verwijderen.
Microsoft.Insights/diagnosticSettings/* Diagnostische instellingen toevoegen, bijwerken en verwijderen in Azure-resources.
Microsoft.OperationalInsights/* Configuratie voor Log Analytics-werkruimten toevoegen, bijwerken en verwijderen. Als u geavanceerde instellingen voor werkruimten wilt bewerken, moet de gebruiker .Microsoft.OperationalInsights/workspaces/write
Microsoft.OperationsManagement/* Beheeroplossingen toevoegen en verwijderen.
Microsoft.Resources/deployments/* Maak en verwijder implementaties. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en automation-accounts.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Maak en verwijder implementaties. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en automation-accounts.

Resourcemachtigingen

Als u gegevens wilt lezen uit of gegevens wilt verzenden naar een werkruimte in de resourcecontext, hebt u deze machtigingen nodig voor de resource:

Machtiging Beschrijving
Microsoft.Insights/logs/*/read Mogelijkheid om alle logboekgegevens voor de resource weer te geven
Microsoft.Insights/logs/<tableName>/read
Voorbeeld:
Microsoft.Insights/logs/Heartbeat/read
Mogelijkheid om een specifieke tabel voor deze resource weer te geven - verouderde methode
Microsoft.Insights/diagnosticSettings/write Mogelijkheid om diagnostische instellingen te configureren om het instellen van logboeken voor deze resource toe te staan

De /read machtiging wordt meestal verleend vanuit een rol die */lees- of * machtigingen bevat, zoals de ingebouwde rollen Lezer en Inzender. Aangepaste rollen die specifieke acties of toegewezen ingebouwde rollen bevatten, bevatten mogelijk niet deze machtiging.

Voorbeelden van aangepaste rollen

Naast het gebruik van de ingebouwde rollen voor een Log Analytics-werkruimte, kunt u aangepaste rollen maken om gedetailleerdere machtigingen toe te wijzen. Hier volgen enkele veelvoorkomende voorbeelden.

Voorbeeld 1: Een gebruiker toestemming geven om logboekgegevens uit hun resources te lezen.

  • Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
  • */read Gebruikers of Microsoft.Insights/logs/*/read machtigingen verlenen aan hun resources. Als ze al de rol Log Analytics Reader in de werkruimte hebben toegewezen, is dit voldoende.

Voorbeeld 2: Een gebruiker toestemming geven om logboekgegevens uit hun resources te lezen en een zoektaak uit te voeren.

  • Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
  • */read Gebruikers of Microsoft.Insights/logs/*/read machtigingen verlenen aan hun resources. Als ze al de rol Log Analytics Reader in de werkruimte hebben toegewezen, is dit voldoende.
  • Gebruikers de volgende machtigingen verlenen voor de werkruimte:
    • Microsoft.OperationalInsights/workspaces/tables/write: Vereist om de tabel met zoekresultaten te kunnen maken (_SRCH).
    • Microsoft.OperationalInsights/workspaces/searchJobs/write: Vereist om de zoektaakbewerking uit te voeren.

Voorbeeld 3: Een gebruiker toestemming geven om logboekgegevens van hun resources te lezen en hun resources te configureren voor het verzenden van logboeken naar de Log Analytics-werkruimte.

  • Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
  • Gebruikers de volgende machtigingen verlenen voor de werkruimte: Microsoft.OperationalInsights/workspaces/read en Microsoft.OperationalInsights/workspaces/sharedKeys/action. Met deze machtigingen kunnen gebruikers geen query's op werkruimteniveau uitvoeren. Ze kunnen de werkruimte alleen opsommen en gebruiken als bestemming voor diagnostische instellingen of agentconfiguratie.
  • Gebruikers de volgende machtigingen verlenen voor hun resources: Microsoft.Insights/logs/*/read en Microsoft.Insights/diagnosticSettings/write. Als ze al de rol Log Analytics-inzender hebben toegewezen, de rol Lezer hebben toegewezen of machtigingen voor deze resource hebben verleend */read , is dit voldoende.

Voorbeeld 4: Een gebruiker toestemming geven om logboekgegevens van hun resources te lezen, maar niet om logboeken naar de Log Analytics-werkruimte te verzenden of beveiligingsevenementen te lezen.

  • Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
  • Gebruikers de volgende machtigingen verlenen voor hun resources: Microsoft.Insights/logs/*/read.
  • Voeg de volgende NonAction toe om te voorkomen dat gebruikers het type SecurityEvent lezen: Microsoft.Insights/logs/SecurityEvent/read. NonAction heeft dezelfde aangepaste rol als de actie die de leesmachtiging (Microsoft.Insights/logs/*/read) biedt. Als de gebruiker de leesactie over neemt van een andere rol die is toegewezen aan deze resource of aan het abonnement of de resourcegroep, kunnen ze alle logboektypen lezen. Dit scenario is ook waar als ze */read die overnemen, bijvoorbeeld met de rol Lezer of Inzender.

Voorbeeld 5: Een gebruiker toestemming geven om logboekgegevens van hun resources en alle aanmeldingsgegevens van microsoft Entra te lezen en logboekgegevens van updatebeheer te lezen in de Log Analytics-werkruimte.

  • Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
  • Gebruikers de volgende machtigingen verlenen voor de werkruimte:
    • Microsoft.OperationalInsights/workspaces/read: Vereist zodat de gebruiker de werkruimte kan inventariseren en het werkruimtedeelvenster in Azure Portal kan openen
    • Microsoft.OperationalInsights/workspaces/query/read: Vereist voor elke gebruiker die query's kan uitvoeren
    • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Om aanmeldingslogboeken van Microsoft Entra te kunnen lezen
    • Microsoft.OperationalInsights/workspaces/query/Update/read: Om oplossingslogboeken voor updatebeheer te kunnen lezen
    • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Om oplossingslogboeken voor updatebeheer te kunnen lezen
    • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Om updatebeheerlogboeken te kunnen lezen
    • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Vereist om updatebeheeroplossingen te kunnen gebruiken
    • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Vereist om updatebeheeroplossingen te kunnen gebruiken
  • Gebruikers de volgende machtigingen verlenen aan hun resources: */read, toegewezen aan de rol Lezer of Microsoft.Insights/logs/*/read

Voorbeeld 6: Een gebruiker beperken tot het herstellen van gegevens uit langetermijnretentie.

  • Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
  • Wijs de gebruiker toe aan de rol Log Analytics-inzender .
  • Voeg de volgende NonAction toe om te voorkomen dat gebruikers gegevens herstellen uit langetermijnretentie: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Leestoegang op tabelniveau instellen

Zie Leestoegang op tabelniveau beheren.

Volgende stappen