Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure MonitorManage access to log data and workspaces in Azure Monitor

Azure Monitor ukládá data protokolu v pracovním prostoru Log Analytics.Azure Monitor stores log data in a Log Analytics workspace. Pracovní prostor je kontejner, který obsahuje data a informace o konfiguraci.A workspace is a container that includes data and configuration information. Ke správě přístupu k datům protokolu provádíte různé úlohy správy související s vaším pracovním prostorem.To manage access to log data, you perform various administrative tasks related to your workspace.

Tento článek vysvětluje, jak spravovat přístup k protokolům a spravovat pracovní prostory, které je obsahují, včetně toho, jak udělit přístup k:This article explains how to manage access to logs and to administer the workspaces that contain them, including how to grant access to:

  • Pracovní prostor s oprávněními v pracovním prostoru.The workspace using workspace permissions.
  • Uživatelé, kteří potřebují přístup k datům protokolu z konkrétních prostředků pomocí řízení přístupu na základě role Azure (Azure RBAC), označovaného také jako kontext prostředkuUsers who need access to log data from specific resources using Azure role-based access control (Azure RBAC) - also known as resource-context
  • Uživatelé, kteří potřebují přístup k datům protokolů v konkrétní tabulce v pracovním prostoru pomocí Azure RBAC.Users who need access to log data in a specific table in the workspace using Azure RBAC.

Pokud chcete porozumět koncepcím, které se týkají služby Azure RBAC a strategií přístupu, přečtěte si téma návrh nasazení Azure Monitorch protokolůTo understand the Logs concepts around Azure RBAC and access strategies, read designing your Azure Monitor Logs deployment

Konfigurovat režim řízení přístupuConfigure access control mode

Režim řízení přístupu nakonfigurovaný v pracovním prostoru můžete zobrazit z Azure Portal nebo pomocí Azure PowerShell.You can view the access control mode configured on a workspace from the Azure portal or with Azure PowerShell. Toto nastavení můžete změnit pomocí jedné z následujících podporovaných metod:You can change this setting using one of the following supported methods:

  • portál AzureAzure portal

  • Azure PowerShellAzure PowerShell

  • Šablona Azure Resource ManageruAzure Resource Manager template

Pomocí webu Azure PortalFrom the Azure portal

Aktuální režim řízení přístupu k pracovnímu prostoru můžete zobrazit na stránce Přehled pracovního prostoru v nabídce Log Analytics pracovní prostor.You can view the current workspace access control mode on the Overview page for the workspace in the Log Analytics workspace menu.

Zobrazit režim řízení přístupu k pracovnímu prostoru

  1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.
  2. V Azure Portal vyberte pracovní prostory Log Analytics > pracovní prostor.In the Azure portal, select Log Analytics workspaces > your workspace.

Toto nastavení můžete změnit na stránce vlastností pracovního prostoru.You can change this setting from the Properties page of the workspace. Změna nastavení se zakáže, pokud nemáte oprávnění ke konfiguraci pracovního prostoru.Changing the setting will be disabled if you don't have permissions to configure the workspace.

Změnit režim přístupu k pracovnímu prostoru

Pomocí prostředí PowerShellUsing PowerShell

Pomocí následujícího příkazu prověřte režim řízení přístupu pro všechny pracovní prostory v rámci předplatného:Use the following command to examine the access control mode for all workspaces in the subscription:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

Výstup by měl vypadat takto:The output should resemble the following:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Hodnota False znamená, že pracovní prostor je nakonfigurovaný pomocí režimu přístupu kontextu pracovního prostoru.A value of False means the workspace is configured with the workspace-context access mode. Hodnota True znamená, že pracovní prostor je nakonfigurovaný pomocí režimu přístupu kontextu prostředků.A value of True means the workspace is configured with the resource-context access mode.

Poznámka

Pokud je pracovní prostor vrácen bez logické hodnoty a je prázdný, bude také odpovídat výsledkům False hodnoty.If a workspace is returned without a boolean value and is blank, this also matches the results of a False value.

Pomocí následujícího skriptu nastavte režim řízení přístupu pro konkrétní pracovní prostor na oprávnění kontextu prostředku:Use the following script to set the access control mode for a specific workspace to the resource-context permission:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Pomocí následujícího skriptu nastavte režim řízení přístupu pro všechny pracovní prostory v předplatném na oprávnění kontextu prostředků:Use the following script to set the access control mode for all workspaces in the subscription to the resource-context permission:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Použití šablony Resource ManageruUsing a Resource Manager template

Pro konfiguraci režimu přístupu v šabloně Azure Resource Manager nastavte příznak funkce enableLogAccessUsingOnlyResourcePermissions v pracovním prostoru na jednu z následujících hodnot.To configure the access mode in an Azure Resource Manager template, set the enableLogAccessUsingOnlyResourcePermissions feature flag on the workspace to one of the following values.

  • false: Nastavte pracovní prostor na oprávnění kontextu v pracovním prostoru.false: Set the workspace to workspace-context permissions. Toto je výchozí nastavení, pokud příznak není nastaven.This is the default setting if the flag isn't set.
  • true: Nastavte pracovní prostor na oprávnění kontextu prostředků.true: Set the workspace to resource-context permissions.

Správa přístupu pomocí oprávnění k pracovnímu prostoruManage access using workspace permissions

Ke každému pracovnímu prostoru může být přidruženo několik účtů a každý účet může mít přístup k několika pracovním prostorům.Each workspace can have multiple accounts associated with it, and each account can have access to multiple workspaces. Přístup se spravuje pomocí řízení přístupu na základě role Azure (Azure RBAC).Access is managed using Azure role-based access control (Azure RBAC).

Následující aktivity také vyžadují oprávnění Azure:The following activities also require Azure permissions:

AkceAction Potřebná oprávnění AzureAzure Permissions Needed PoznámkyNotes
Přidávání a odebírání řešení monitorováníAdding and removing monitoring solutions Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Automation/*
Microsoft.Resources/deployments/*/write
Tato oprávnění je potřeba udělit na úrovni skupiny prostředků nebo předplatného.These permissions need to be granted at resource group or subscription level.
Změna cenové úrovněChanging the pricing tier Microsoft.OperationalInsights/workspaces/*/write
Zobrazení dat na dlaždicích řešení Backup a Site RecoveryViewing data in the Backup and Site Recovery solution tiles Správce nebo spolusprávceAdministrator / Co-administrator Má přístup k prostředkům nasazeným pomocí modelu nasazení Azure Classic.Accesses resources deployed using the classic deployment model
Vytvoření pracovního prostoru na webu Azure PortalCreating a workspace in the Azure portal Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/workspaces/*
Zobrazit základní vlastnosti pracovního prostoru a zadat okno pracovního prostoru na portáluView workspace basic properties and enter the workspace blade in the portal Microsoft.OperationalInsights/workspaces/read
Dotazování protokolů pomocí libovolného rozhraníQuery logs using any interface Microsoft.OperationalInsights/workspaces/query/read
Přístup ke všem typům protokolů pomocí dotazůAccess all log types using queries Microsoft.OperationalInsights/workspaces/query/*/read
Přístup ke konkrétní tabulce protokoluAccess a specific log table Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Přečtěte si klíče pracovního prostoru, abyste povolili odesílání protokolů do tohoto pracovního prostoru.Read the workspace keys to allow sending logs to this workspace Microsoft.OperationalInsights/workspaces/sharedKeys/action

Správa přístupu pomocí oprávnění AzureManage access using Azure permissions

Pokud chcete udělit přístup k pracovnímu prostoru služby Log Analytics pomocí oprávnění Azure, postupujte podle kroků v tématu Použití přiřazení rolí ke správě přístupu k prostředkům předplatného Azure.To grant access to the Log Analytics workspace using Azure permissions, follow the steps in use role assignments to manage access to your Azure subscription resources. Například vlastní role najdete v tématu Příklady vlastních rolí .For example custom roles, see Example custom roles

Azure má dvě předdefinované role uživatelů pro Log Analytics pracovní prostory:Azure has two built-in user roles for Log Analytics workspaces:

  • Čtenář Log AnalyticsLog Analytics Reader
  • Přispěvatel Log AnalyticsLog Analytics Contributor

Členové role Čtenář Log Analytics můžou provádět:Members of the Log Analytics Reader role can:

  • Zobrazení a prohledávání všech dat monitorováníView and search all monitoring data
  • Zobrazení nastavení monitorování, včetně zobrazení konfigurace diagnostiky Azure pro všechny prostředky AzureView monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources.

Role čtecího modulu Log Analytics zahrnuje následující akce Azure:The Log Analytics Reader role includes the following Azure actions:

TypType OprávněníPermission PopisDescription
AkceAction */read Možnost Zobrazit všechny prostředky a konfiguraci prostředků Azure.Ability to view all Azure resources and resource configuration. To zahrnuje zobrazení:Includes viewing:
Stavu rozšíření virtuálního počítačeVirtual machine extension status
Konfigurace diagnostiky Azure pro prostředkyConfiguration of Azure diagnostics on resources
Všechny vlastnosti a nastavení všech prostředků.All properties and settings of all resources.
U pracovních prostorů umožňuje plná neomezená oprávnění ke čtení nastavení pracovního prostoru a provádění dotazů na data.For workspaces, it allows full unrestricted permissions to read the workspace settings and perform query on the data. Podívejte se na podrobnější možnosti výše.See more granular options above.
AkceAction Microsoft.OperationalInsights/workspaces/analytics/query/action Zastaralé, není nutné je přiřazovat uživatelům.Deprecated, no need to assign them to users.
AkceAction Microsoft.OperationalInsights/workspaces/search/action Zastaralé, není nutné je přiřazovat uživatelům.Deprecated, no need to assign them to users.
AkceAction Microsoft.Support/* Možnost otevírat případy podporyAbility to open support cases
Jiný než akceNot Action Microsoft.OperationalInsights/workspaces/sharedKeys/read Zabraňuje čtení klíče pracovního prostoru požadovaného k použití rozhraní API pro shromažďování dat a k instalaci agentů.Prevents reading of workspace key required to use the data collection API and to install agents. Tím se zabrání uživateli v přidávání nových prostředků do pracovního prostoru.This prevents the user from adding new resources to the workspace

Členové role Přispěvatel Log Analytics můžou provádět:Members of the Log Analytics Contributor role can:

  • Zahrnuje všechna oprávnění role čtecího modulu Log Analytics, takže uživatel bude moct číst všechna data monitorování.Includes all the privileges of the Log Analytics Reader role, allowing the user to read all monitoring data

  • Vytvoření a konfigurace účtů služby AutomationCreate and configure Automation accounts

  • Přidání a odebrání řešení pro správuAdd and remove management solutions

    Poznámka

    Aby bylo možné úspěšně provést poslední dvě akce, je nutné toto oprávnění udělit na úrovni skupiny prostředků nebo předplatného.In order to successfully perform the last two actions, this permission needs to be granted at the resource group or subscription level.

  • Čtení klíčů účtu úložištěRead storage account keys

  • Konfigurace kolekce protokolů z Azure StorageConfigure the collection of logs from Azure Storage

  • Úprava nastavení monitorování pro prostředky Azure, včetněEdit monitoring settings for Azure resources, including

    • Přidání rozšíření virtuálního počítače na virtuální počítačeAdding the VM extension to VMs
    • Konfigurace diagnostiky Azure pro všechny prostředky AzureConfiguring Azure diagnostics on all Azure resources

Poznámka

Možnost přidat rozšíření virtuálního počítače na virtuální počítač můžete použít k získání úplné kontroly nad virtuálním počítačem.You can use the ability to add a virtual machine extension to a virtual machine to gain full control over a virtual machine.

Role Přispěvatel Log Analytics zahrnuje následující akce Azure:The Log Analytics Contributor role includes the following Azure actions:

OprávněníPermission DescriptionDescription
*/read Možnost zobrazit všechny prostředky a jejich konfiguraci.Ability to view all resources and resource configuration. To zahrnuje zobrazení:Includes viewing:
Stavu rozšíření virtuálního počítačeVirtual machine extension status
Konfigurace diagnostiky Azure pro prostředkyConfiguration of Azure diagnostics on resources
Všechny vlastnosti a nastavení všech prostředků.All properties and settings of all resources.
U pracovních prostorů umožňuje úplná neomezená oprávnění číst nastavení pracovního prostoru a provádět dotaz na data.For workspaces, it allows full unrestricted permissions to read the workspace setting and perform query on the data. Podívejte se na podrobnější možnosti výše.See more granular options above.
Microsoft.Automation/automationAccounts/* Možnost vytvořit a konfigurovat účty služby Azure Automation, včetně přidávání a úprav runbookůAbility to create and configure Azure Automation accounts, including adding and editing runbooks
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
Přidání, aktualizace a odebrání rozšíření virtuálního počítače, včetně rozšíření Microsoft Monitoring Agent a rozšíření Agent OMS pro LinuxAdd, update and remove virtual machine extensions, including the Microsoft Monitoring Agent extension and the OMS Agent for Linux extension
Microsoft.ClassicStorage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/listKeys/action
Zobrazení klíče účtu úložiště.View the storage account key. Požadovaný ke konfiguraci Log Analytics pro čtení protokolů z účtů služby Azure StorageRequired to configure Log Analytics to read logs from Azure storage accounts
Microsoft.Insights/alertRules/* Přidání, aktualizace a odebrání pravidel upozorněníAdd, update, and remove alert rules
Microsoft.Insights/diagnosticSettings/* Přidání, aktualizace a odebrání nastavení diagnostiky pro prostředky AzureAdd, update, and remove diagnostics settings on Azure resources
Microsoft.OperationalInsights/* Přidání, aktualizace a odebrání konfigurace Log Analytics pracovních prostorů.Add, update, and remove configuration for Log Analytics workspaces. Pro úpravu rozšířených nastavení pracovního prostoru, uživatelských potřeb Microsoft.OperationalInsights/workspaces/write .To edit workspace advanced settings, user needs Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/* Přidání a odebrání řešení pro správuAdd and remove management solutions
Microsoft.Resources/deployments/* Vytvoření a odstranění nasazení.Create and delete deployments. Požadováno pro přidávání a odebírání řešení, pracovních prostorů a účtů služby AutomationRequired for adding and removing solutions, workspaces, and automation accounts
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Vytvoření a odstranění nasazení.Create and delete deployments. Požadováno pro přidávání a odebírání řešení, pracovních prostorů a účtů služby AutomationRequired for adding and removing solutions, workspaces, and automation accounts

Pokud chcete přidat uživatele do role uživatele nebo je z ní odebrat, je potřeba mít oprávnění Microsoft.Authorization/*/Delete a Microsoft.Authorization/*/Write.To add and remove users to a user role, it is necessary to have Microsoft.Authorization/*/Delete and Microsoft.Authorization/*/Write permission.

Pomocí těchto rolí můžete uživatelům udělit přístup v různých oborech:Use these roles to give users access at different scopes:

  • Předplatné – Přístup ke všem pracovním prostorům v rámci předplatnéhoSubscription - Access to all workspaces in the subscription
  • Skupina prostředků – Přístup ke všem pracovním prostorům v rámci skupiny prostředkůResource Group - Access to all workspace in the resource group
  • Prostředek – Přístup pouze k zadanému pracovnímu prostoruResource - Access to only the specified workspace

Pro zajištění přesného řízení přístupu doporučujeme provést přiřazení na úrovni prostředků (pracovní prostor).We recommend performing assignments at the resource level (workspace) to assure accurate access control. Pomocí vlastních rolí můžete vytvářet role s konkrétními požadovanými oprávněními.Use custom roles to create roles with the specific permissions needed.

Oprávnění prostředkůResource permissions

Když se uživatelé dotazují v protokolech z pracovního prostoru pomocí přístupu kontextu prostředků, budou mít pro tento prostředek následující oprávnění:When users query logs from a workspace using resource-context access, they'll have the following permissions on the resource:

OprávněníPermission DescriptionDescription
Microsoft.Insights/logs/<tableName>/read

Příklady:Examples:
Microsoft.Insights/logs/*/read
Microsoft.Insights/logs/Heartbeat/read
Možnost Zobrazit všechna data protokolu pro daný prostředek.Ability to view all log data for the resource.
Microsoft.Insights/diagnosticSettings/write Možnost konfigurace nastavení diagnostiky tak, aby povolovala nastavování protokolů pro tento prostředek.Ability to configure diagnostics setting to allow setting up logs for this resource.

/readoprávnění je obvykle uděleno z role, která zahrnuje * /Read nebo oprávnění, jako jsou například * předdefinované role Čtenář a Přispěvatel ./read permission is usually granted from a role that includes */read or * permissions such as the built-in Reader and Contributor roles. Toto oprávnění nemusí zahrnovat vlastní role, které obsahují konkrétní akce nebo vyhrazené předdefinované role.Custom roles that include specific actions or dedicated built-in roles might not include this permission.

Pokud chcete vytvořit různé řízení přístupu pro různé tabulky, přečtěte si téma Definování řízení přístupu pro jednotlivé tabulky .See Defining per-table access control below if you want to create different access control for different tables.

Příklady vlastních rolíCustom role examples

  1. Pokud chcete uživateli udělit přístup k datům protokolu z jejich prostředků, udělejte toto:To grant a user access to log data from their resources, perform the following:

    • Konfigurace režimu řízení přístupu k pracovnímu prostoru pro použití oprávnění k pracovnímu prostoru nebo prostředkuConfigure the workspace access control mode to use workspace or resource permissions

    • Udělte uživatelům */read nebo Microsoft.Insights/logs/*/read oprávněním ke svým prostředkům.Grant users */read or Microsoft.Insights/logs/*/read permissions to their resources. Pokud jsou v pracovním prostoru již přiřazeny role čtecího modulu Log Analytics , je dostatečná.If they are already assigned the Log Analytics Reader role on the workspace, it is sufficient.

  2. Pokud chcete uživateli udělit přístup k datům protokolu z jejich prostředků a nakonfigurovat jejich prostředky k odesílání protokolů do pracovního prostoru, udělejte toto:To grant a user access to log data from their resources and configure their resources to send logs to the workspace, perform the following:

    • Konfigurace režimu řízení přístupu k pracovnímu prostoru pro použití oprávnění k pracovnímu prostoru nebo prostředkuConfigure the workspace access control mode to use workspace or resource permissions

    • Udělte uživatelům následující oprávnění v pracovním prostoru: Microsoft.OperationalInsights/workspaces/read a Microsoft.OperationalInsights/workspaces/sharedKeys/action .Grant users the following permissions on the workspace: Microsoft.OperationalInsights/workspaces/read and Microsoft.OperationalInsights/workspaces/sharedKeys/action. Pomocí těchto oprávnění uživatelé nemůžou provádět žádné dotazy na úrovni pracovního prostoru.With these permissions, users cannot perform any workspace-level queries. Mohou pouze vyčíslit pracovní prostor a použít ho jako cíl pro nastavení diagnostiky nebo konfiguraci agenta.They can only enumerate the workspace and use it as a destination for diagnostic settings or agent configuration.

    • Udělte uživatelům následující oprávnění k prostředkům: Microsoft.Insights/logs/*/read a Microsoft.Insights/diagnosticSettings/write .Grant users the following permissions to their resources: Microsoft.Insights/logs/*/read and Microsoft.Insights/diagnosticSettings/write. Pokud jsou jim již přiřazena role přispěvatel Log Analytics , přiřazená role čtenáře nebo udělená */read oprávnění k tomuto prostředku, je dostatečná.If they are already assigned the Log Analytics Contributor role, assigned the Reader role, or granted */read permissions on this resource, it is sufficient.

  3. Chcete-li uživateli udělit přístup k datům protokolu ze svých prostředků, aniž by bylo možné číst události zabezpečení a odesílat data, postupujte následovně:To grant a user access to log data from their resources without being able to read security events and send data, perform the following:

    • Konfigurace režimu řízení přístupu k pracovnímu prostoru pro použití oprávnění k pracovnímu prostoru nebo prostředkuConfigure the workspace access control mode to use workspace or resource permissions

    • Udělte uživatelům následující oprávnění ke svým prostředkům: Microsoft.Insights/logs/*/read .Grant users the following permissions to their resources: Microsoft.Insights/logs/*/read.

    • Přidejte následující neakci, pokud chcete uživatelům zablokovat čtení typu SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read .Add the following NonAction to block users from reading the SecurityEvent type: Microsoft.Insights/logs/SecurityEvent/read. Neakce musí být ve stejné vlastní roli jako akce, která poskytuje oprávnění ke čtení ( Microsoft.Insights/logs/*/read ).The NonAction shall be in the same custom role as the action that provides the read permission (Microsoft.Insights/logs/*/read). Pokud uživatel vlastní akci čtení z jiné role, která je přiřazená tomuto prostředku nebo k předplatnému nebo skupině prostředků, mohl by číst všechny typy protokolů.If the user inherent the read action from another role that is assigned to this resource or to the subscription or resource group, they would be able to read all log types. To platí také v případě, */read že dědí, které existují například s rolí čtenář nebo Přispěvatel.This is also true if they inherit */read, that exist for example, with the Reader or Contributor role.

  4. Pokud chcete uživateli udělit přístup k datům protokolu z jejich prostředků a číst všechna přihlášení a data protokolu Azure AD, Update Management z pracovního prostoru, udělejte toto:To grant a user access to log data from their resources and read all Azure AD sign-in and read Update Management solution log data from the workspace, perform the following:

    • Konfigurace režimu řízení přístupu k pracovnímu prostoru pro použití oprávnění k pracovnímu prostoru nebo prostředkuConfigure the workspace access control mode to use workspace or resource permissions

    • Udělte uživatelům následující oprávnění k pracovnímu prostoru:Grant users the following permissions on the workspace:

      • Microsoft.OperationalInsights/workspaces/read – požadováno, aby uživatel mohl vytvořit výčet pracovního prostoru a otevřít okno pracovního prostoru v Azure PortalMicrosoft.OperationalInsights/workspaces/read – required so the user can enumerate the workspace and open the workspace blade in the Azure portal
      • Microsoft.OperationalInsights/workspaces/query/read – vyžaduje se pro každého uživatele, který může spouštět dotazy.Microsoft.OperationalInsights/workspaces/query/read – required for every user that can execute queries
      • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read – aby bylo možné číst protokoly přihlášení k Azure ADMicrosoft.OperationalInsights/workspaces/query/SigninLogs/read – to be able to read Azure AD sign-in logs
      • Microsoft.OperationalInsights/workspaces/query/Update/read – aby bylo možné číst Update Management protokoly řešeníMicrosoft.OperationalInsights/workspaces/query/Update/read – to be able to read Update Management solution logs
      • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read – aby bylo možné číst Update Management protokoly řešeníMicrosoft.OperationalInsights/workspaces/query/UpdateRunProgress/read – to be able to read Update Management solution logs
      • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read – aby bylo možné číst protokoly správy aktualizacíMicrosoft.OperationalInsights/workspaces/query/UpdateSummary/read – to be able to read Update management logs
      • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read – vyžaduje se, aby bylo možné používat Update Management řešeníMicrosoft.OperationalInsights/workspaces/query/Heartbeat/read – required to be able to use Update Management solution
      • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read – vyžaduje se, aby bylo možné používat Update Management řešeníMicrosoft.OperationalInsights/workspaces/query/ComputerGroup/read – required to be able to use Update Management solution
    • Udělte uživatelům následující oprávnění k prostředkům, která jsou */read přiřazená k roli Čtenář, nebo Microsoft.Insights/logs/*/read .Grant users the following permissions to their resources: */read, assigned to the Reader role, or Microsoft.Insights/logs/*/read.

Úroveň tabulky – Azure RBACTable level Azure RBAC

Úroveň tabulky Azure RBAC umožňuje definovat podrobnější řízení dat v log Analyticsovém pracovním prostoru kromě dalších oprávnění.Table level Azure RBAC allows you to define more granular control to data in a Log Analytics workspace in addition to the other permissions. Tento ovládací prvek umožňuje definovat konkrétní datové typy, které jsou přístupné pouze konkrétní sadě uživatelů.This control allows you to define specific data types that are accessible only to a specific set of users.

Pomocí vlastních rolí Azure implementujete řízení přístupu k tabulce pro udělení přístupu ke konkrétním tabulkám v pracovním prostoru.You implement table access control with Azure custom roles to either grant access to specific tables in the workspace. Tyto role se v pracovních prostorech aplikují pomocí režimů řízení přístupu kontextu pracovního prostoru nebo kontextu prostředků bez ohledu na režim přístupuuživatele.These roles are applied to workspaces with either workspace-context or resource-context access control modes regardless of the user's access mode.

Vytvořte vlastní roli s následujícími akcemi, které definují přístup k řízení přístupu k tabulce.Create a custom role with the following actions to define access to table access control.

  • Chcete-li udělit přístup k tabulce, zahrňte ji do oddílu Akce definice role.To grant access to a table, include it in the Actions section of the role definition. Pokud chcete odečíst přístup z povolených akcí, zahrňte ho do oddílu NotActions .To subtract access from the allowed Actions, include it in the NotActions section.
  • Pro zadání všech tabulek použijte Microsoft. OperationalInsights/Workspaces/Query/*.Use Microsoft.OperationalInsights/workspaces/query/* to specify all tables.

Chcete-li například vytvořit roli s přístupem k tabulkám prezenčního signálu a AzureActivity , vytvořte vlastní roli pomocí následujících akcí:For example, to create a role with access to the Heartbeat and AzureActivity tables, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Chcete-li vytvořit roli s přístupem pouze k tabulce SecurityBaseline , vytvořte vlastní roli pomocí následujících akcí:To create a role with access to only the SecurityBaseline table, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Výše uvedené příklady definují seznam povolených tabulek.The examples above define a list of tables that are allowed. Tento příklad ukazuje definici blokovaného seznamu, když má uživatel přístup ke všem tabulkám, ale k tabulce SecurityAlert :This example shows blocked list definition when a user can access all tables but the SecurityAlert table:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Vlastní protokolyCustom logs

Vlastní protokoly se vytvářejí ze zdrojů dat, jako jsou vlastní protokoly a rozhraní API kolekce dat HTTP.Custom logs are created from data sources such as custom logs and HTTP Data Collector API. Nejjednodušší způsob, jak identifikovat typ protokolu, je kontrola tabulek uvedených v části vlastní protokoly ve schématu protokolu.The easiest way to identify the type of log is by checking the tables listed under Custom Logs in the log schema.

Nemůžete udělit přístup k jednotlivým vlastním protokolům, ale můžete udělit přístup ke všem vlastním protokolům.You can't grant access to individual custom logs, but you can grant access to all custom logs. Chcete-li vytvořit roli s přístupem ke všem vlastním protokolům, vytvořte vlastní roli pomocí následujících akcí:To create a role with access to all custom logs, create a custom role using the following actions:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Alternativním přístupem ke správě přístupu k vlastním protokolům je přiřazení prostředku Azure a Správa přístupu pomocí paradigma kontextu prostředků.An alternative approach to manage access to custom logs is to assign them to an Azure resource and manage access using the resource-context paradigm. Pokud chcete použít tuto metodu, musíte do hlavičky x-MS-AzureResourceId zadat ID prostředku, když se data ingestují Log Analytics prostřednictvím rozhraní API pro shromažďování dat http.To use this method, you must include the resource ID by specifying it in the x-ms-AzureResourceId header when data is ingested to Log Analytics via the HTTP Data Collector API. ID prostředku musí být platné a na něj se vztahují pravidla přístupu.The resource ID must be valid and have access rules applied to it. Po ingestování protokolů jsou přístupné uživatelům s přístupem pro čtení k prostředku, jak je popsáno zde.After the logs are ingested, they are accessible to those with read access to the resource, as explained here.

Někdy vlastní protokoly pocházejí ze zdrojů, které nejsou přímo přidružené ke konkrétnímu prostředku.Sometimes custom logs come from sources that are not directly associated to a specific resource. V takovém případě vytvořte skupinu prostředků jenom pro správu přístupu k těmto protokolům.In this case, create a resource group just to manage access to these logs. V této skupině prostředků se neúčtují žádné náklady, ale poskytuje platné ID prostředku pro řízení přístupu k vlastním protokolům.The resource group does not incur any cost, but gives you a valid resource ID to control access to the custom logs. Pokud třeba konkrétní brána firewall odesílá vlastní protokoly, vytvořte skupinu prostředků s názvem "MyFireWallLogs" a ujistěte se, že požadavky rozhraní API obsahují ID prostředku "MyFireWallLogs".For example, if a specific firewall is sending custom logs, create a resource group called "MyFireWallLogs" and make sure that the API requests contain the resource ID of "MyFireWallLogs". Záznamy protokolu brány firewall jsou pak přístupné jenom uživatelům, kterým byl udělen přístup k MyFireWallLogs nebo s úplným přístupem k pracovnímu prostoru.The firewall log records are then accessible only to users that were granted access to either MyFireWallLogs or those with full workspace access.

PožadavkyConsiderations

  • Pokud má uživatel udělené globální oprávnění ke čtení s rolemi čtenář úrovně Standard a přispěvatel, které zahrnují akci * /Read , potlačí řízení přístupu na jednotlivé tabulky a udělí jim přístup ke všem datům protokolu.If a user is granted global read permission with the standard Reader or Contributor roles that include the */read action, it will override the per-table access control and give them access to all log data.
  • Pokud je uživateli udělen přístup pro jednotlivé tabulky, ale žádná další oprávnění, by mohl získat přístup k datům protokolu z rozhraní API, ale nikoli z Azure Portal.If a user is granted per-table access but no other permissions, they would be able to access log data from the API but not from the Azure portal. K poskytnutí přístupu z Azure Portal jako základní roli použijte nástroj Log Analytics Reader.To provide access from the Azure portal, use Log Analytics Reader as its base role.
  • Správci a vlastníci předplatného budou mít přístup ke všem datovým typům bez ohledu na všechna ostatní nastavení oprávnění.Administrators and owners of the subscription will have access to all data types regardless of any other permission settings.
  • Vlastníci pracovního prostoru se považují za každého jiného uživatele pro řízení přístupu k jednotlivým tabulkám.Workspace owners are treated like any other user for per-table access control.
  • Pro snížení počtu přiřazení doporučujeme přiřadit role ke skupinám zabezpečení místo jednotlivých uživatelů.We recommend assigning roles to security groups instead of individual users to reduce the number of assignments. Pomůže vám to také při konfiguraci a ověření přístupu pomocí existujících nástrojů pro správu skupin.This will also help you use existing group management tools to configure and verify access.

Další krokyNext steps