Logboek gegevens en-werk ruimten in Azure Monitor beherenManage log data and workspaces in Azure Monitor

Azure Monitor worden logboek gegevens opgeslagen in een log Analytics-werk ruimte, wat in feite een container is die gegevens-en configuratie gegevens bevat.Azure Monitor stores log data in a Log Analytics workspace, which is essentially a container that includes data and configuration information. Als u de toegang tot logboek gegevens wilt beheren, voert u verschillende beheer taken uit die betrekking hebben op uw werk ruimte.To manage access to log data, you perform various administrative tasks related to your workspace.

In dit artikel wordt uitgelegd hoe u de toegang tot logboeken beheert en hoe u de werk ruimten die ze bevatten, kunt beheren, waaronder:This article explains how to manage access to logs and to administer the workspaces that contain them, including:

  • Toegang verlenen aan gebruikers die toegang nodig hebben tot logboek gegevens van specifieke bronnen met behulp van Azure op rollen gebaseerd toegangs beheer (RBAC).How to grant access to users who need access to log data from specific resources using Azure role-based access control (RBAC).

  • Toegang tot de werk ruimte verlenen met behulp van werkruimte machtigingen.How to grant access to the workspace using workspace permissions.

  • Toegang verlenen aan gebruikers die toegang nodig hebben tot logboek gegevens in een specifieke tabel in de werk ruimte met behulp van Azure RBAC.How to grant access to users who need access to log data in a specific table in the workspace using Azure RBAC.

Toegangs beheer modus definiërenDefine access control mode

U kunt de toegangs beheer modus die is geconfigureerd op een werk ruimte weer geven vanuit de Azure Portal of met Azure PowerShell.You can view the access control mode configured on a workspace from the Azure portal or with Azure PowerShell. U kunt deze instelling wijzigen met een van de volgende ondersteunde methoden:You can change this setting using one of the following supported methods:

  • Azure PortalAzure portal

  • Azure PowerShellAzure PowerShell

  • Azure Resource Manager-sjabloonAzure Resource Manager template

Configureren vanuit de Azure PortalConfigure from the Azure portal

U kunt de huidige toegangs beheer modus voor de werk ruimte weer geven op de pagina overzicht van de werk ruimte in het menu van de log Analytics werk ruimte .You can view the current workspace access control mode on the Overview page for the workspace in the Log Analytics workspace menu.

Toegangs beheer modus voor werk ruimte weer geven

  1. Meld u aan bij de Azure Portal op https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.
  2. Selecteer in de Azure Portal Log Analytics werk ruimten > uw werk ruimte.In the Azure portal, select Log Analytics workspaces > your workspace.

U kunt deze instelling wijzigen op de pagina Eigenschappen van de werk ruimte.You can change this setting from the Properties page of the workspace. Het wijzigen van de instelling wordt uitgeschakeld als u geen machtigingen hebt om de werk ruimte te configureren.Changing the setting will be disabled if you don't have permissions to configure the workspace.

Toegangs modus voor werk ruimte wijzigen

Configureren met Power shellConfigure using PowerShell

Gebruik de volgende opdracht om de toegangs beheer modus voor alle werk ruimten in het abonnement te controleren:Use the following command to examine the access control mode for all workspaces in the subscription:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions} 

De uitvoer moet er als volgt uitzien:The output should resemble the following:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Een waarde False betekent dat de werk ruimte is geconfigureerd met de toegangs modus voor de werk ruimte-context.A value of False means the workspace is configured with the workspace-context access mode. Een waarde True betekent dat de werk ruimte is geconfigureerd met de toegangs modus voor de resource context.A value of True means the workspace is configured with the resource-context access mode.

Notitie

Als een werk ruimte wordt geretourneerd zonder een Booleaanse waarde en deze leeg is, komt dit ook overeen met False de resultaten van een waarde.If a workspace is returned without a boolean value and is blank, this also matches the results of a False value.

Gebruik het volgende script om de toegangs beheer modus voor een specifieke werk ruimte in te stellen op de machtiging resource-context:Use the following script to set the access control mode for a specific workspace to the resource-context permission:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null) 
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else 
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Gebruik het volgende script om de toegangs beheer modus voor alle werk ruimten in het abonnement in te stellen op de resource-context machtiging:Use the following script to set the access control mode for all workspaces in the subscription to the resource-context permission:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null) 
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else 
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force

Configureren met behulp van een resource manager-sjabloonConfigure using a Resource Manager template

Als u de toegangs modus in een Azure Resource Manager sjabloon wilt configureren, stelt u de enableLogAccessUsingOnlyResourcePermissions -functie vlag in de werk ruimte in op een van de volgende waarden.To configure the access mode in an Azure Resource Manager template, set the enableLogAccessUsingOnlyResourcePermissions feature flag on the workspace to one of the following values.

  • Onwaar: Stel de werk ruimte in op de werk ruimte-context machtigingen.false: Set the workspace to workspace-context permissions. Dit is de standaard instelling als de vlag niet is ingesteld.This is the default setting if the flag isn't set.
  • waar: Stel de werk ruimte in op resource-context machtigingen.true: Set the workspace to resource-context permissions.

Accounts en gebruikers beherenManage accounts and users

De machtigingen die worden toegepast op de werk ruimte voor een bepaalde gebruiker, worden gedefinieerd door de toegangs modus en de toegangs beheer modus van de werk ruimte.The permissions applied to the workspace for a particular user are defined by their access mode and the access control mode of the workspace. U kunt met de werk ruimte contextalle logboeken in de werk ruimte weer geven waarvoor u gemachtigd bent, omdat query's in deze modus zijn afgestemd op alle gegevens in alle tabellen in de werk ruimte.With Workspace-context, you can view all logs in the workspace that you have permission to, as queries in this mode are scoped to all data in all tables in the workspace. Met resource-contextbekijkt u logboek gegevens in de werk ruimte voor een bepaalde resource, resource groep of abonnement bij het rechtstreeks uitvoeren van een zoek actie vanuit de resource in het Azure Portal waartoe u toegang hebt.With Resource-context, you view logs data in the workspace for a particular resource, resource group, or subscription when performing a search directly from the resource in the Azure portal that you have access to. Query's in deze modus zijn alleen van toepassing op gegevens die aan die resource zijn gekoppeld.Queries in this mode are scoped to only data associated with that resource.

Werkruimte machtigingenWorkspace permissions

Elke werkruimte kunnen meerdere accounts worden gekoppeld, en elk account kan toegang hebben tot meerdere werkruimten.Each workspace can have multiple accounts associated with it, and each account can have access to multiple workspaces. Toegang wordt beheerd met behulp van Azure op rollen gebaseerde toegang.Access is managed using Azure role-based access.

Voor de volgende activiteiten zijn ook Azure-machtigingen vereist:The following activities also require Azure permissions:

BewerkingAction Azure-machtigingen nodigAzure Permissions Needed OpmerkingenNotes
Bewakings oplossingen toevoegen en verwijderenAdding and removing monitoring solutions Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Automation/*
Microsoft.Resources/deployments/*/write
Deze machtigingen moeten worden toegekend op het niveau van de resourcegroep of het abonnement.These permissions need to be granted at resource group or subscription level.
De prijscategorie wijzigenChanging the pricing tier Microsoft.OperationalInsights/workspaces/*/write
Gegevens weergeven op de tegels Back-up en Site RecoveryViewing data in the Backup and Site Recovery solution tiles Beheerder/medebeheerderAdministrator / Co-administrator Heeft toegang tot resources die zijn geïmplementeerd met behulp van het klassieke implementatiemodelAccesses resources deployed using the classic deployment model
Een werkruimte maken in Azure PortalCreating a workspace in the Azure portal Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/workspaces/*
Basis eigenschappen van werk ruimte weer geven en de Blade werk ruimte in de portal invoerenView workspace basic properties and enter the workspace blade in the portal Microsoft.OperationalInsights/workspaces/read
Query logboeken met een wille keurige interfaceQuery logs using any interface Microsoft.OperationalInsights/workspaces/query/read
Toegang tot alle logboek typen met behulp van query'sAccess all log types using queries Microsoft.OperationalInsights/workspaces/query/*/read
Toegang tot een specifieke logboek tabelAccess a specific log table Microsoft.OperationalInsights/workspaces/query/<table_name>/read
De werkruimte sleutels voor het verzenden van logboeken naar deze werk ruimte lezenRead the workspace keys to allow sending logs to this workspace Microsoft.OperationalInsights/workspaces/sharedKeys/action

Toegang beheren met Azure-machtigingenManage access using Azure permissions

Volg de stappen in Roltoewijzingen gebruiken voor het beheer van de toegang tot de resources van uw Azure-abonnement om toegang te verlenen tot de Log Analytics-werkruimte met behulp van Azure-machtigingen.To grant access to the Log Analytics workspace using Azure permissions, follow the steps in use role assignments to manage access to your Azure subscription resources.

Azure heeft twee ingebouwde gebruikers rollen voor Log Analytics-werk ruimten:Azure has two built-in user roles for Log Analytics workspaces:

  • Lezer van Log AnalyticsLog Analytics Reader
  • Inzender van Log AnalyticsLog Analytics Contributor

Leden van de rol Lezer van Log Analytics kunnen:Members of the Log Analytics Reader role can:

  • Alle controlegegevens weergeven en doorzoekenView and search all monitoring data
  • Controlegegevens weergeven, inclusief de configuratie van Azure Diagnostics voor alle Azure-resources.View monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources.

De rol Lezer van Log Analytics bevat de volgende Azure acties:The Log Analytics Reader role includes the following Azure actions:

TypeType MachtigingPermission DescriptionDescription
BewerkingAction */read De mogelijkheid om alle Azure-resources en resourceconfiguratie weer te geven.Ability to view all Azure resources and resource configuration. Omvat:Includes viewing:
Status van de VM-extensieVirtual machine extension status
Configuratie van Azure Diagnostics voor resourcesConfiguration of Azure diagnostics on resources
Alle eigenschappen en instellingen van alle resources.All properties and settings of all resources.
Voor werk ruimten kunnen volledige onbeperkte machtigingen de werk ruimte-instellingen lezen en query's uitvoeren op de gegevens.For workspaces, it allows full unrestricted permissions to read the workspace settings and perform query on the data. Bekijk meer gedetailleerde opties hierboven.See more granular options above.
ActionAction Microsoft.OperationalInsights/workspaces/analytics/query/action Afgeschaft, u hoeft ze niet aan gebruikers toe te wijzen.Deprecated, no need to assign them to users.
ActionAction Microsoft.OperationalInsights/workspaces/search/action Afgeschaft, u hoeft ze niet aan gebruikers toe te wijzen.Deprecated, no need to assign them to users.
ActionAction Microsoft.Support/* Mogelijkheid ondersteuningsaanvragen te openenAbility to open support cases
Geen bewerkingNot Action Microsoft.OperationalInsights/workspaces/sharedKeys/read Hiermee voorkomt u dat het lezen van de werkruimte sleutel die nodig is om te gebruiken van de gegevensverzameling-API en om agents te installeren.Prevents reading of workspace key required to use the data collection API and to install agents. Hiermee voorkomt u dat de gebruiker van het toevoegen van nieuwe resources in de werkruimteThis prevents the user from adding new resources to the workspace

Leden van de rol Inzender van Log Analytics kunnen:Members of the Log Analytics Contributor role can:

  • Alle controlegegevens lezen als lezer van Log AnalyticsRead all monitoring data as Log Analytics Reader can

  • Automation-accounts maken en configurerenCreating and configuring Automation accounts

  • Beheeroplossingen toevoegen en verwijderenAdding and removing management solutions

    Notitie

    Wilt u is de laatste twee acties uitvoeren, moet deze machtiging worden verleend op het niveau van de resource-groep of abonnement.In order to successfully perform the last two actions, this permission needs to be granted at the resource group or subscription level.

  • Opslagaccountsleutels lezenReading storage account keys

  • Verzameling met logboeken uit Azure Storage configurerenConfigure collection of logs from Azure Storage

  • De controle-instellingen voor Azure-resources bewerken, inclusiefEdit monitoring settings for Azure resources, including

    • De VM-extensie toevoegen aan virtuele machinesAdding the VM extension to VMs
    • Azure Diagnostics configureren op alle Azure-resourcesConfiguring Azure diagnostics on all Azure resources

Notitie

U kunt de mogelijkheid om een VM-extensie toe te voegen aan een virtuele machine, gebruiken om volledige controle over een virtuele machine te krijgen.You can use the ability to add a virtual machine extension to a virtual machine to gain full control over a virtual machine.

De rol Inzender van Log Analytics bevat de volgende Azure acties:The Log Analytics Contributor role includes the following Azure actions:

MachtigingPermission DescriptionDescription
*/read De mogelijkheid om alle resources en de resourceconfiguratie weer te geven.Ability to view all resources and resource configuration. Omvat:Includes viewing:
Status van de VM-extensieVirtual machine extension status
Configuratie van Azure Diagnostics voor resourcesConfiguration of Azure diagnostics on resources
Alle eigenschappen en instellingen van alle resources.All properties and settings of all resources.
Voor werk ruimten kunnen volledige onbeperkte machtigingen de werk ruimte-instelling lezen en query's uitvoeren op de gegevens.For workspaces, it allows full unrestricted permissions to read the workspace setting and perform query on the data. Bekijk meer gedetailleerde opties hierboven.See more granular options above.
Microsoft.Automation/automationAccounts/* De mogelijkheid om Azure Automation-accounts te maken en te configureren, inclusief het toevoegen en bewerken van runbooksAbility to create and configure Azure Automation accounts, including adding and editing runbooks
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
VM-extensies toevoegen, bijwerken en verwijderen, met inbegrip van de Microsoft Monitoring Agent-extensie en de OMS Agent for Linux-extensieAdd, update and remove virtual machine extensions, including the Microsoft Monitoring Agent extension and the OMS Agent for Linux extension
Microsoft.ClassicStorage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/listKeys/action
Geef de opslagaccountsleutel weer.View the storage account key. Vereist om Log Analytics te configureren om logboeken uit Azure-opslagaccounts te lezenRequired to configure Log Analytics to read logs from Azure storage accounts
Microsoft.Insights/alertRules/* Waarschuwingsregels toevoegen, bijwerken en verwijderenAdd, update, and remove alert rules
Microsoft.Insights/diagnosticSettings/* Diagnostische instellingen bij Azure-resources toevoegen, bijwerken en verwijderenAdd, update, and remove diagnostics settings on Azure resources
Microsoft.OperationalInsights/* Configuratie voor Log Analytics-werkruimten toevoegen, bijwerken en verwijderenAdd, update, and remove configuration for Log Analytics workspaces
Microsoft.OperationsManagement/* Beheeroplossingen toevoegen en verwijderenAdd and remove management solutions
Microsoft.Resources/deployments/* Maak en verwijder implementaties.Create and delete deployments. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en Automation-accountsRequired for adding and removing solutions, workspaces, and automation accounts
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Maak en verwijder implementaties.Create and delete deployments. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en Automation-accountsRequired for adding and removing solutions, workspaces, and automation accounts

Als u gebruikers wilt toevoegen aan en verwijderen uit een gebruikersrol, moet u beschikken over machtigingen voor Microsoft.Authorization/*/Delete en Microsoft.Authorization/*/Write.To add and remove users to a user role, it is necessary to have Microsoft.Authorization/*/Delete and Microsoft.Authorization/*/Write permission.

Gebruik deze rollen om gebruikers toegang te geven op verschillende niveaus:Use these roles to give users access at different scopes:

  • Abonnement: toegang tot alle werkruimten in het abonnementSubscription - Access to all workspaces in the subscription
  • Resourcegroep: toegang tot alle werkruimten in de resourcegroepResource Group - Access to all workspace in the resource group
  • Resource: alleen toegang tot de opgegeven werkruimteResource - Access to only the specified workspace

U moet toewijzingen op het niveau van de resource (werk ruimte) uitvoeren om nauw keurig toegangs beheer te garanderen.You should perform assignments at the resource level (workspace) to assure accurate access control. Gebruik aangepaste rollen om rollen te maken met de specifieke machtigingen die nodig zijn.Use custom roles to create roles with the specific permissions needed.

Resource machtigingenResource permissions

Wanneer gebruikers een query uitvoeren op Logboeken vanuit een werk ruimte met behulp van resource-context toegang, hebben ze de volgende machtigingen voor de resource:When users query logs from a workspace using resource-context access, they'll have the following permissions on the resource:

MachtigingPermission DescriptionDescription
Microsoft.Insights/logs/<tableName>/read

Voorbeelden:Examples:
Microsoft.Insights/logs/*/read
Microsoft.Insights/logs/Heartbeat/read
De mogelijkheid om alle logboek gegevens voor de resource weer te geven.Ability to view all log data for the resource.
Microsoft.Insights/diagnosticSettings/write De mogelijkheid om Diagnostische instellingen te configureren om Logboeken in te stellen voor deze bron.Ability to configure diagnostics setting to allow setting up logs for this resource.

/readmachtigingen worden meestal verleend vanuit een rol die */Read of * machtigingen bevat, zoals de ingebouwde functie lezer en Inzender ./read permission is usually granted from a role that includes */read or * permissions such as the built-in Reader and Contributor roles. Houd er rekening mee dat aangepaste rollen die specifieke acties of speciale ingebouwde rollen bevatten, deze machtiging mogelijk niet bevatten.Note that custom roles that include specific actions or dedicated built-in roles might not include this permission.

Zie definiëren per-tabel toegangs beheer hieronder als u een ander toegangs beheer voor verschillende tabellen wilt maken.See Defining per-table access control below if you want to create different access control for different tables.

RBAC op tabel niveauTable level RBAC

Met RBAC op tabel niveau kunt u naast de andere machtigingen nauw keurigere controle definiëren voor gegevens in een log Analytics-werk ruimte.Table level RBAC allows you to define more granular control to data in a Log Analytics workspace in addition to the other permissions. Met dit besturings element kunt u specifieke gegevens typen definiëren die alleen toegankelijk zijn voor een specifieke groep gebruikers.This control allows you to define specific data types that are accessible only to a specific set of users.

U implementeert Table Access Control met aangepaste Azure-rollen voor het verlenen of weigeren van toegang tot specifieke tabellen in de werk ruimte.You implement table access control with Azure custom roles to either grant or deny access to specific tables in the workspace. Deze rollen worden toegepast op werk ruimten met toegangs beheer modi werk ruimte-context of resource-context, ongeacht de toegangs modusvan de gebruiker.These roles are applied to workspaces with either workspace-context or resource-context access control modes regardless of the user's access mode.

Maak een aangepaste rol met de volgende acties om toegang te definiëren tot Table Access Control.Create a custom role with the following actions to define access to table access control.

  • Als u toegang wilt verlenen aan een tabel, neemt u deze op in de sectie acties van de roldefinitie.To grant access to a table, include it in the Actions section of the role definition.
  • Als u de toegang tot een tabel wilt weigeren, neemt u deze op in de sectie intact van de roldefinitie.To deny access to a table, include it in the NotActions section of the role definition.
  • Gebruik * om alle tabellen op te geven.Use * to specify all tables.

Als u bijvoorbeeld een rol wilt maken met toegang tot de tabellen heartbeat en AzureActivity , maakt u een aangepaste rol met behulp van de volgende acties:For example, to create a role with access to the Heartbeat and AzureActivity tables, create a custom role using the following actions:

"Actions":  [
              "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
              "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Als u een rol wilt maken die alleen toegang heeft tot Security Baseline Baseline en geen andere tabellen, maakt u een aangepaste rol met behulp van de volgende acties:To create a role with access to only SecurityBaseline and no other tables, create a custom role using the following actions:

    "Actions":  [
        "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
    ],
    "NotActions":  [
        "Microsoft.OperationalInsights/workspaces/query/*/read"
    ],

Aangepaste logboekenCustom logs

Aangepaste logboeken worden gemaakt op basis van gegevens bronnen, zoals aangepaste logboeken en HTTP-gegevens verzamelaar-API.Custom logs are created from data sources such as custom logs and HTTP Data Collector API. De eenvoudigste manier om het type logboek te identificeren, is door de tabellen die worden vermeld onder aangepaste Logboeken in het logboek schemate controleren.The easiest way to identify the type of log is by checking the tables listed under Custom Logs in the log schema.

U kunt momenteel geen toegang verlenen of weigeren voor afzonderlijke aangepaste logboeken, maar u hebt toegang tot alle aangepaste Logboeken.You can't currently grant or deny access to individual custom logs, but you can grant or deny access to all custom logs. Als u een rol wilt maken met toegang tot alle aangepaste logboeken, maakt u een aangepaste rol met behulp van de volgende acties:To create a role with access to all custom logs, create a custom role using the following actions:

    "Actions":  [
        "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
    ],

OverwegingenConsiderations

  • Als een gebruiker algemene Lees machtigingen heeft met de Standard Reader-of Inzender rollen die de */Read -actie bevatten, wordt het toegangs beheer per tabel overschreven en hebben ze toegang tot alle logboek gegevens.If a user is granted global read permission with the standard Reader or Contributor roles that include the */read action, it will override the per-table access control and give them access to all log data.
  • Als een gebruiker toegang verleent per tabel, maar geen andere machtigingen heeft, zouden ze toegang kunnen krijgen tot logboek gegevens vanuit de API, maar niet van de Azure Portal.If a user is granted per-table access but no other permissions, they would be able to access log data from the API but not from the Azure portal. Als u toegang wilt bieden vanaf de Azure Portal, gebruikt u Log Analytics Reader als basis functie.To provide access from the Azure portal, use Log Analytics Reader as its base role.
  • Beheerders van het abonnement hebben toegang tot alle gegevens typen, ongeacht andere machtigings instellingen.Administrators of the subscription will have access to all data types regardless of any other permission settings.
  • Werkruimte eigenaren worden beschouwd als elke andere gebruiker voor toegangs beheer per tabel.Workspace owners are treated like any other user for per-table access control.
  • U moet rollen toewijzen aan beveiligings groepen in plaats van afzonderlijke gebruikers om het aantal toewijzingen te verminderen.You should assign roles to security groups instead of individual users to reduce the number of assignments. Hiermee kunt u ook bestaande hulpprogram ma's voor groeps beheer gebruiken om de toegang te configureren en te controleren.This will also help you use existing group management tools to configure and verify access.

Volgende stappenNext steps