Rollen, machtigingen en beveiliging in Azure MonitorRoles, permissions, and security in Azure Monitor

Notitie

Dit artikel is bijgewerkt om gebruik te maken van de Azure Az PowerShell-module.This article has been updated to use the Azure Az PowerShell module. De Az PowerShell-module is de aanbevolen PowerShell-module voor interactie met Azure.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module.To get started with the Az PowerShell module, see Install Azure PowerShell. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Veel teams moeten de toegang tot bewakings gegevens en-instellingen strikt reguleren.Many teams need to strictly regulate access to monitoring data and settings. Als u bijvoorbeeld team leden hebt die uitsluitend werken aan bewaking (ondersteunings technici, DevOps Engineers) of als u een beheerde service provider gebruikt, wilt u deze mogelijk alleen toegang geven tot de bewaking van gegevens en de mogelijkheid voor het maken, wijzigen of verwijderen van resources te beperken.For example, if you have team members who work exclusively on monitoring (support engineers, DevOps engineers) or if you use a managed service provider, you may want to grant them access to only monitoring data while restricting their ability to create, modify, or delete resources. In dit artikel wordt beschreven hoe u snel een ingebouwde bewakings functie van Azure toepast op een gebruiker in azure of uw eigen aangepaste rol bouwt voor een gebruiker die beperkte controle machtigingen nodig heeft.This article shows how to quickly apply a built-in monitoring Azure role to a user in Azure or build your own custom role for a user who needs limited monitoring permissions. Vervolgens worden de beveiligings overwegingen voor uw Azure Monitor-gerelateerde resources besproken en wordt uitgelegd hoe u de toegang tot de gegevens die ze bevatten, kunt beperken.It then discusses security considerations for your Azure Monitor-related resources and how you can limit access to the data they contain.

Ingebouwde bewakingsrollenBuilt-in monitoring roles

De ingebouwde rollen van Azure Monitor zijn ontworpen om de toegang tot resources in een abonnement te beperken, terwijl ze nog steeds verantwoordelijk zijn voor de bewaking van de infra structuur voor het verkrijgen en configureren van de gegevens die ze nodig hebben.Azure Monitor’s built-in roles are designed to help limit access to resources in a subscription while still enabling those responsible for monitoring infrastructure to obtain and configure the data they need. Azure Monitor biedt twee out-of-the-box-rollen: een bewakings lezer en een bewakings bijdrager.Azure Monitor provides two out-of-the-box roles: A Monitoring Reader and a Monitoring Contributor.

Bewakings lezerMonitoring Reader

Personen die de rol bewakings lezer toegewezen kunnen alle bewakings gegevens in een abonnement weer geven, maar kunnen geen resource wijzigen of instellingen bewerken die betrekking hebben op bewakings bronnen.People assigned the Monitoring Reader role can view all monitoring data in a subscription but cannot modify any resource or edit any settings related to monitoring resources. Deze rol is geschikt voor gebruikers in een organisatie, zoals ondersteuning of Operations engineers, die het volgende moeten kunnen:This role is appropriate for users in an organization, such as support or operations engineers, who need to be able to:

  • Bekijk bewakings dashboards in de portal en maak hun eigen persoonlijke bewakings dashboards.View monitoring dashboards in the portal and create their own private monitoring dashboards.
  • Waarschuwings regels weer geven die zijn gedefinieerd in Azure-waarschuwingenView alert rules defined in Azure Alerts
  • Query's uitvoeren voor metrische gegevens met behulp van de Azure Monitor rest API, Power shell-cmdletsof kruislingse platform-cli.Query for metrics using the Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • Query's uitvoeren op het activiteiten logboek met behulp van de portal, Azure Monitor REST API, Power shell-cmdlets of kruislingse platform-CLI.Query the Activity Log using the portal, Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • De Diagnostische instellingen voor een resource weer geven.View the diagnostic settings for a resource.
  • Het logboek profiel voor een abonnement weer geven.View the log profile for a subscription.
  • Instellingen voor automatisch schalen weer geven.View autoscale settings.
  • Waarschuwings activiteit en instellingen weer geven.View alert activity and settings.
  • Toegang krijgen tot Application Insights gegevens en gegevens weer geven in AI Analytics.Access Application Insights data and view data in AI Analytics.
  • Log Analytics werkruimte gegevens zoeken, inclusief gebruiks gegevens voor de werk ruimte.Search Log Analytics workspace data including usage data for the workspace.
  • Log Analytics-beheer groepen weer geven.View Log Analytics management groups.
  • Het zoek schema ophalen in Log Analytics werk ruimte.Retrieve the search schema in Log Analytics workspace.
  • Bewakings pakketten weer geven in Log Analytics-werk ruimte.List monitoring packs in Log Analytics workspace.
  • Opgeslagen Zoek opdrachten ophalen en uitvoeren in Log Analytics werk ruimte.Retrieve and execute saved searches in Log Analytics workspace.
  • De opslag configuratie voor de Log Analytics werkruimte ophalen.Retrieve the Log Analytics workspace storage configuration.

Notitie

Deze rol geeft geen lees toegang tot logboek gegevens die zijn gestreamd naar een Event Hub of die is opgeslagen in een opslag account.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Hieronder vindt u meer informatie over het configureren van toegang tot deze resources.See below for information on configuring access to these resources.

Inzender bewakenMonitoring Contributor

Personen aan wie de rol bewakings bijdrage is toegewezen, kunnen alle bewakings gegevens in een abonnement bekijken en controle-instellingen maken of wijzigen, maar kunnen geen andere resources wijzigen.People assigned the Monitoring Contributor role can view all monitoring data in a subscription and create or modify monitoring settings, but cannot modify any other resources. Deze rol is een hoofd verzameling van de rol van de bewakings lezer en is geschikt voor leden van het bewakings team van een organisatie of voor beheerde service providers die naast de bovenstaande machtigingen ook de volgende handelingen moeten kunnen doen:This role is a superset of the Monitoring Reader role, and is appropriate for members of an organization’s monitoring team or managed service providers who, in addition to the permissions above, also need to be able to:

  • Publiceer bewakings dashboards als een gedeeld dash board.Publish monitoring dashboards as a shared dashboard.
  • Diagnostische instellingen instellen voor een resource.*Set diagnostic settings for a resource.*
  • Het logboek profiel instellen voor een abonnement.*Set the log profile for a subscription.*
  • De activiteiten en instellingen voor waarschuwings regels instellen via Azure-waarschuwingen.Set alert rules activity and settings via Azure Alerts.
  • Application Insights-webtests en-onderdelen maken.Create Application Insights web tests and components.
  • Lijst met gedeelde sleutels van Log Analytics werkruimte.List Log Analytics workspace shared keys.
  • Bewakings pakketten in Log Analytics werk ruimte in-of uitschakelen.Enable or disable monitoring packs in Log Analytics workspace.
  • Opgeslagen Zoek opdrachten in Log Analytics werk ruimte maken en verwijderen en uitvoeren.Create and delete and execute saved searches in Log Analytics workspace.
  • De opslag configuratie voor de Log Analytics werkruimte maken en verwijderen.Create and delete the Log Analytics workspace storage configuration.

*gebruikers moeten ook afzonderlijk Listkeys ophalen-machtigingen krijgen voor de doel resource (opslag account of Event Hub naam ruimte) om een logboek profiel of diagnostische instelling in te stellen.*user must also separately be granted ListKeys permission on the target resource (storage account or event hub namespace) to set a log profile or diagnostic setting.

Notitie

Deze rol geeft geen lees toegang tot logboek gegevens die zijn gestreamd naar een Event Hub of die is opgeslagen in een opslag account.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Hieronder vindt u meer informatie over het configureren van toegang tot deze resources.See below for information on configuring access to these resources.

Bewakings machtigingen en aangepaste Azure-rollenMonitoring permissions and Azure custom roles

Als de bovenstaande ingebouwde rollen niet voldoen aan de exacte behoeften van uw team, kunt u een aangepaste Azure-rol maken met gedetailleerde machtigingen.If the above built-in roles don’t meet the exact needs of your team, you can create an Azure custom role with more granular permissions. Hieronder vindt u de algemene Azure RBAC-bewerkingen voor Azure Monitor met hun beschrijvingen.Below are the common Azure RBAC operations for Azure Monitor with their descriptions.

BewerkingOperation BeschrijvingDescription
Micro soft. Insights/ActionGroups/[lezen, schrijven, verwijderen]Microsoft.Insights/ActionGroups/[Read, Write, Delete] Actie groepen lezen/schrijven/verwijderen.Read/write/delete action groups.
Micro soft. Insights/ActivityLogAlerts/[lezen, schrijven, verwijderen]Microsoft.Insights/ActivityLogAlerts/[Read, Write, Delete] Waarschuwingen voor het activiteiten logboek lezen/schrijven/verwijderen.Read/write/delete activity log alerts.
Micro soft. Insights/AlertRules/[lezen, schrijven, verwijderen]Microsoft.Insights/AlertRules/[Read, Write, Delete] Waarschuwings regels lezen/schrijven/verwijderen (van klassieke waarschuwingen).Read/write/delete alert rules (from alerts classic).
Micro soft. Insights/AlertRules/incidenten/lezenMicrosoft.Insights/AlertRules/Incidents/Read Incidenten weer geven (geschiedenis van de waarschuwings regel die wordt geactiveerd) voor waarschuwings regels.List incidents (history of the alert rule being triggered) for alert rules. Dit is alleen van toepassing op de portal.This only applies to the portal.
Micro soft. Insights/AutoscaleSettings/[lezen, schrijven, verwijderen]Microsoft.Insights/AutoscaleSettings/[Read, Write, Delete] Instellingen voor automatisch schalen lezen/schrijven/verwijderen.Read/write/delete autoscale settings.
Micro soft. Insights/DiagnosticSettings/[lezen, schrijven, verwijderen]Microsoft.Insights/DiagnosticSettings/[Read, Write, Delete] Diagnostische instellingen lezen/schrijven/verwijderen.Read/write/delete diagnostic settings.
Micro soft. Insights/EventCategories/lezenMicrosoft.Insights/EventCategories/Read Alle mogelijke categorieën in het activiteiten logboek opsommen.Enumerate all categories possible in the Activity Log. Wordt gebruikt door de Azure Portal.Used by the Azure portal.
Micro soft. Insights/eventtypes/digestevents/lezenMicrosoft.Insights/eventtypes/digestevents/Read Deze machtiging is nodig voor gebruikers die toegang moeten hebben tot activiteiten logboeken via de portal.This permission is necessary for users who need access to Activity Logs via the portal.
Micro soft. Insights/eventtypes/values/ReadMicrosoft.Insights/eventtypes/values/Read Lijst activiteiten logboek gebeurtenissen (beheer gebeurtenissen) in een abonnement.List Activity Log events (management events) in a subscription. Deze machtiging is van toepassing op zowel toegang via het programma als de portal tot het activiteiten logboek.This permission is applicable to both programmatic and portal access to the Activity Log.
Micro soft. Insights/ExtendedDiagnosticSettings/[lezen, schrijven, verwijderen]Microsoft.Insights/ExtendedDiagnosticSettings/[Read, Write, Delete] Diagnostische instellingen voor netwerk stroom logboeken lezen/schrijven/verwijderen.Read/write/delete diagnostic settings for network flow logs.
Micro soft. Insights/LogDefinitions/lezenMicrosoft.Insights/LogDefinitions/Read Deze machtiging is nodig voor gebruikers die toegang moeten hebben tot activiteiten logboeken via de portal.This permission is necessary for users who need access to Activity Logs via the portal.
Micro soft. Insights/LogProfiles/[lezen, schrijven, verwijderen]Microsoft.Insights/LogProfiles/[Read, Write, Delete] Logboek profielen lezen/schrijven/verwijderen (streaming-activiteiten logboek naar Event Hub of opslag account).Read/write/delete log profiles (streaming Activity Log to event hub or storage account).
Micro soft. Insights/MetricAlerts/[lezen, schrijven, verwijderen]Microsoft.Insights/MetricAlerts/[Read, Write, Delete] Bijna realtime waarschuwingen over metrische gegevens lezen/schrijven/verwijderenRead/write/delete near real-time metric alerts
Micro soft. Insights/MetricDefinitions/lezenMicrosoft.Insights/MetricDefinitions/Read Metrische definities lezen (lijst met beschik bare meet typen voor een resource).Read metric definitions (list of available metric types for a resource).
Micro soft. Insights/metrische gegevens/lezenMicrosoft.Insights/Metrics/Read Meet gegevens voor een resource lezen.Read metrics for a resource.
Micro soft. Insights/registreren/actieMicrosoft.Insights/Register/Action Registreer de Azure Monitor resource provider.Register the Azure Monitor resource provider.
Micro soft. Insights/ScheduledQueryRules/[lezen, schrijven, verwijderen]Microsoft.Insights/ScheduledQueryRules/[Read, Write, Delete] Waarschuwingen voor logboeken lezen/schrijven/verwijderen in Azure Monitor.Read/write/delete log alerts in Azure Monitor.

Notitie

Voor toegang tot waarschuwingen, diagnostische instellingen en metrische gegevens voor een resource moet de gebruiker lees toegang hebben tot het bron type en het bereik van die resource.Access to alerts, diagnostic settings, and metrics for a resource requires that the user has Read access to the resource type and scope of that resource. Maken (' schrijven ') een diagnostische instelling of logboek profiel die naar een opslag account of streams naar Event hubs archiveert, vereist dat de gebruiker ook Listkeys ophalen-machtiging heeft voor de doel bron.Creating (“write”) a diagnostic setting or log profile that archives to a storage account or streams to event hubs requires the user to also have ListKeys permission on the target resource.

U kunt bijvoorbeeld de bovenstaande tabel gebruiken om een aangepaste Azure-rol te maken voor een ' activiteiten logboek lezer ' zoals deze:For example, using the above table you could create an Azure custom role for an “Activity Log Reader” like this:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Activity Log Reader"
$role.Description = "Can view activity logs."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Insights/eventtypes/*")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription")
New-AzRoleDefinition -Role $role 

Beveiligingsoverwegingen voor het bewaken van gegevensSecurity considerations for monitoring data

Bewakings gegevens, met name logboek bestanden, kunnen gevoelige informatie bevatten, zoals IP-adressen of gebruikers namen.Monitoring data—particularly log files—can contain sensitive information, such as IP addresses or user names. Het bewaken van gegevens van Azure is beschikbaar in drie basis formulieren:Monitoring data from Azure comes in three basic forms:

  1. Het activiteiten logboek, waarmee alle acties op het vlak van het besturings element van uw Azure-abonnement worden beschreven.The Activity Log, which describes all control-plane actions on your Azure subscription.
  2. Bron logboeken, logboeken die worden verzonden door een resource.resource logs, which are logs emitted by a resource.
  3. Metrische gegevens, die worden verzonden door resources.Metrics, which are emitted by resources.

Al deze drie van deze gegevens typen kunnen worden opgeslagen in een opslag account of worden gestreamd naar Event hub, waarvan beide Azure-resources voor algemeen gebruik zijn.All three of these data types can be stored in a storage account or streamed to Event Hub, both of which are general-purpose Azure resources. Omdat dit resources voor algemeen gebruik zijn, is het maken, verwijderen en openen ervan een geautoriseerde bewerking die is gereserveerd voor een beheerder.Because these are general-purpose resources, creating, deleting, and accessing them is a privileged operation reserved for an administrator. U wordt aangeraden de volgende procedures te gebruiken voor het bewaken van bronnen om misbruik te voor komen:We suggest that you use the following practices for monitoring-related resources to prevent misuse:

  • Gebruik één enkel speciaal opslag account voor het bewaken van gegevens.Use a single, dedicated storage account for monitoring data. Als u bewakings gegevens wilt scheiden in meerdere opslag accounts, moet u het gebruik van een opslag account nooit delen tussen bewaking en niet-bewakings gegevens, omdat dit per ongeluk personen die alleen toegang nodig hebben tot bewakings gegevens (bijvoorbeeld een SIEM van derden) toegang hebben tot gegevens die niet worden bewaakt.If you need to separate monitoring data into multiple storage accounts, never share usage of a storage account between monitoring and non-monitoring data, as this may inadvertently give those who only need access to monitoring data (for example, a third-party SIEM) access to non-monitoring data.
  • Gebruik één, toegewezen Service Bus of event hub-naam ruimte in alle diagnostische instellingen om dezelfde reden als hierboven.Use a single, dedicated Service Bus or Event Hub namespace across all diagnostic settings for the same reason as above.
  • Beperk de toegang tot bewakings-gerelateerde opslag accounts of event hubs door ze in een afzonderlijke resource groep te bewaren en bereik op uw bewakings rollen te gebruiken om de toegang tot de resource groep te beperken.Limit access to monitoring-related storage accounts or event hubs by keeping them in a separate resource group, and use scope on your monitoring roles to limit access to only that resource group.
  • Ken nooit de machtiging Listkeys ophalen toe voor opslag accounts of event hubs in het abonnements bereik wanneer een gebruiker alleen toegang nodig heeft tot bewakings gegevens.Never grant the ListKeys permission for either storage accounts or event hubs at subscription scope when a user only needs access to monitoring data. Geef in plaats daarvan deze machtigingen aan de gebruiker op een resource of resource groep (als u een toegewezen controle resource groep hebt).Instead, give these permissions to the user at a resource or resource group (if you have a dedicated monitoring resource group) scope.

Wanneer een gebruiker of toepassing toegang nodig heeft tot bewakings gegevens in een opslag account, moet u een account-SAS genereren op het opslag account dat bewakings gegevens bevat met alleen-lezen toegang op service niveau tot Blob Storage.When a user or application needs access to monitoring data in a storage account, you should generate an Account SAS on the storage account that contains monitoring data with service-level read-only access to blob storage. In Power shell kan dit er als volgt uitzien:In PowerShell, this might look like:

$context = New-AzStorageContext -ConnectionString "[connection string for your monitoring Storage Account]"
$token = New-AzStorageAccountSASToken -ResourceType Service -Service Blob -Permission "rl" -Context $context

Vervolgens kunt u het token toekennen aan de entiteit die van dat opslag account moet worden gelezen en kunnen alle blobs in dat opslag account worden vermeld en gelezen.You can then give the token to the entity that needs to read from that storage account, and it can list and read from all blobs in that storage account.

Als u deze machtiging ook met Azure RBAC wilt beheren, kunt u die entiteit de machtiging micro soft. Storage/Storage accounts/listkeys ophalen/Action verlenen voor dat specifieke opslag account.Alternatively, if you need to control this permission with Azure RBAC, you can grant that entity the Microsoft.Storage/storageAccounts/listkeys/action permission on that particular storage account. Dit is nodig voor gebruikers die een diagnostische instelling of logboek profiel moeten kunnen instellen om te archiveren naar een opslag account.This is necessary for users who need to be able to set a diagnostic setting or log profile to archive to a storage account. U kunt bijvoorbeeld de volgende aangepaste Azure-rol maken voor een gebruiker of toepassing die alleen uit één opslag account moet worden gelezen:For example, you could create the following Azure custom role for a user or application that only needs to read from one storage account:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Monitoring Storage Account Reader"
$role.Description = "Can get the storage account keys for a monitoring storage account."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Storage/storageAccounts/listkeys/action")
$role.Actions.Add("Microsoft.Storage/storageAccounts/Read")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myMonitoringStorageAccount")
New-AzRoleDefinition -Role $role 

Waarschuwing

Met de machtiging Listkeys ophalen kan de gebruiker de sleutels van het primaire en secundaire opslag account weer geven.The ListKeys permission enables the user to list the primary and secondary storage account keys. Deze sleutels verlenen de gebruiker alle ondertekende machtigingen (lezen, schrijven, maken van blobs, verwijderen van blobs enz.) voor alle ondertekende Services (BLOB, wachtrij, tabel, bestand) in dat opslag account.These keys grant the user all signed permissions (read, write, create blobs, delete blobs, etc.) across all signed services (blob, queue, table, file) in that storage account. U kunt het beste een hierboven beschreven account-SAS gebruiken.We recommend using an Account SAS described above when possible.

Een vergelijkbaar patroon kan worden gevolgd door Event hubs, maar eerst moet u een toegewezen listener-autorisatie regel maken.A similar pattern can be followed with event hubs, but first you need to create a dedicated Listen authorization rule. Ga als volgt te werk als u toegang wilt verlenen tot een toepassing die alleen moet Luis teren naar controle-gerelateerde Event hubs:If you want to grant, access to an application that only needs to listen to monitoring-related event hubs, do the following:

  1. Maak een beleid voor gedeelde toegang op de Event Hub (s) die zijn gemaakt voor streaming-bewakings gegevens met alleen Luister claims.Create a shared access policy on the event hub(s) that were created for streaming monitoring data with only Listen claims. Dit kan in de portal worden uitgevoerd.This can be done in the portal. U kunt bijvoorbeeld het volgende noemen: ' monitoringReadOnly '.For example, you might call it “monitoringReadOnly.” Indien mogelijk moet u die sleutel rechtstreeks aan de consument geven en de volgende stap overs Laan.If possible, you will want to give that key directly to the consumer and skip the next step.

  2. Als de consument de sleutel ad hoc moet kunnen ophalen, geeft u de gebruiker de Listkeys ophalen actie voor die Event Hub.If the consumer needs to be able to get the key ad hoc, grant the user the ListKeys action for that event hub. Dit is ook nodig voor gebruikers die een diagnostische instelling of logboek profiel moeten kunnen instellen om te streamen naar Event hubs.This is also necessary for users who need to be able to set a diagnostic setting or log profile to stream to event hubs. U kunt bijvoorbeeld een Azure RBAC-regel maken:For example, you might create an Azure RBAC rule:

    $role = Get-AzRoleDefinition "Reader"
    $role.Id = $null
    $role.Name = "Monitoring Event Hub Listener"
    $role.Description = "Can get the key to listen to an event hub streaming monitoring data."
    $role.Actions.Clear()
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/authorizationrules/listkeys/action")
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/Read")
    $role.AssignableScopes.Clear()
    $role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.ServiceBus/namespaces/mySBNameSpace")
    New-AzRoleDefinition -Role $role 
    

Bewaking binnen een beveiligd virtueel netwerkMonitoring within a secured Virtual Network

Azure Monitor moet toegang hebben tot uw Azure-resources om de services te kunnen bieden die u inschakelt.Azure Monitor needs access to your Azure resources to provide the services you enable. Als u uw Azure-resources wilt bewaken terwijl u ze toch van toegang tot het open bare Internet beveiligt, kunt u de volgende instellingen inschakelen.If you would like to monitor your Azure resources while still securing them from access to the Public Internet, you can enable the following settings.

Beveiligde opslag accountsSecured Storage Accounts

Bewakings gegevens worden vaak naar een opslag account geschreven.Monitoring data is often written to a storage account. U kunt er ook voor zorgen dat de gegevens die naar een opslag account worden gekopieerd, niet toegankelijk zijn voor onbevoegde gebruikers.You may want to make sure that the data copied to a Storage Account cannot be accessed by unauthorized users. Voor extra beveiliging kunt u netwerk toegang vergren delen om alleen uw geautoriseerde resources en vertrouwde micro soft-Services toegang te geven tot een opslag account door een opslag account te beperken om ' geselecteerde netwerken ' te gebruiken.For additional security, you can lock down network access to only allow your authorized resources and trusted Microsoft services access to a storage account by restricting a storage account to use "selected networks". Azure Storage instellingen dialoog venster Azure monitor wordt beschouwd als een van deze ' vertrouwde micro soft-Services ' als u vertrouwde micro soft-Services toegang verleent tot uw beveiligde opslag, heeft Azure monitor toegang tot uw account voor beveiligde opslag, waardoor het schrijven van Azure monitor resource logboeken, het activiteiten logboek en de metrische gegevens naar uw opslag account onder deze beveiligde voor waarden.Azure Storage Settings Dialog Azure Monitor is considered one of these "trusted Microsoft services" If you allow trusted Microsoft services to access your Secured Storage, Azure monitor will have access to your secured Storage Account; enabling writing Azure Monitor resource logs, activity log, and metrics to your Storage Account under these protected conditions. Op deze locatie kunnen ook Log Analytics logboeken van beveiligde opslag worden gelezen.This will also enable Log Analytics to read logs from secured storage.

Zie netwerk beveiliging en Azure Storage voor meer informatie.For more information, see Network security and Azure Storage

Volgende stappenNext steps