إدارة الوصول إلى مساحات عمل Log Analytics

العوامل التي تحدد البيانات التي يمكنك الوصول إليها في مساحة عمل Log Analytics هي:

• الإعدادات على مساحة العمل نفسها.
• أذونات الوصول إلى الموارد التي ترسل البيانات إلى مساحة العمل.
• الأسلوب المستخدم للوصول إلى مساحة العمل.

توضح هذه المقالة كيفية إدارة الوصول إلى البيانات في مساحة عمل Log Analytics.

نظرة عامة

يتم وصف العوامل التي تحدد البيانات التي يمكنك الوصول إليها في الجدول التالي. ويرد وصف إضافي لكل عامل في الأقسام التالية.

العامل‬	‏‏الوصف
وضع الوصول	الأسلوب المستخدم للوصول إلى مساحة العمل. يحدد نطاق البيانات المتوفرة ووضع التحكم في الوصول المُطبق.
وضع التحكم بالوصول	الإعداد على مساحة العمل الذي يُحدد ما إذا كانت الأذونات مُطبقة على مستوى مساحة العمل أو مستوى المورد.
التحكم في الوصول استنادا إلى الدور في Azure (RBAC)	الأذونات المطبقة على الأفراد أو مجموعات المستخدمين لمساحة العمل أو المورد الذي يرسل البيانات إلى مساحة العمل. يحدد البيانات التي لديك إمكانية وصول إليها.
مستوى الجدول Azure RBAC	الأذونات الاختيارية التي تحدد أنواع بيانات معينة في مساحة العمل التي يمكنك الوصول إليها. يمكن تطبيقه على جميع أوضاع الوصول أو أوضاع التحكم في الوصول.

وضع الوصول

يشير وضع الوصول إلى كيفية الوصول إلى مساحة عمل Log Analytics ويحدد البيانات التي يمكنك الوصول إليها في أثناء جلسة العمل الحالية. يتم تحديد الوضع وفقًا للنطاق الذي تحدده في Log Analytics.

هناك وضعان للوصول:

• سياق مساحة العمل:يمكنك عرض كافة السجلات في مساحة العمل التي لديك إذن بها. يتم تحديد نطاق الاستعلامات في هذا الوضع لجميع البيانات في الجداول التي يمكنك الوصول إليها في مساحة العمل. وضع الوصول هذا هو المستخدم عند الوصول إلى السجلات باستخدام مساحة العمل كنطاق، مثل عند تحديد سجلات على القائمة مراقبة Azure في مدخل Microsoft Azure.
• سياق المورد: عند الوصول إلى مساحة العمل لمورد معين أو مجموعة موارد أو اشتراك معين، مثل عند تحديد Logs من قائمة «موارد» في مدخل Microsoft Azure، يمكنك عرض سجلات الموارد فقط في كافة الجداول التي لديك حق الوصول إليها. يُحدد نطاق الاستعلامات في هذا الوضع للبيانات ذات الصلة بهذا المورد فقط. هذا الوضع يتيح أيضًا التحكم في الوصول استنادًا إلى الدور الدقيق لـ Azure. تستخدم مساحات العمل نموذج سجل سياق المورد حيث يتم إقران كل سجل منبعثة من مورد Azure تلقائيًا بهذا المورد.

لا تتوفر السجلات إلا في استعلامات سياق المورد إذا كانت مقترنة بالمورد ذي الصلة. للتحقق من هذا الاقتران، قم بتشغيل استعلام وتحقق من ملء العمود _ResourceId.

هناك قيود معروفة مع الموارد التالية:

• أجهزة الكمبيوتر خارج Azure: سياق الموارد مدعوم فقط مع Azure Arc للخوادم.
• Application Insights: معتمدة لسياق المورد فقط عند استخدام مورد Application Insights المستندة إلى مساحة العمل.
• Azure Service Fabric

مقارنة أوضاع الوصول

يلخص الجدول التالي أوضاع الوصول:

المشكلة	مساحة العمل- السياق	الموارد-السياق
لمن يُخصص كل نموذج؟	الإدارة المركزية. المسؤولون الذين يحتاجون إلى تكوين جمع البيانات، والمستخدمين الذين يحتاجون إلى الوصول إلى مجموعة واسعة من الموارد. مطلوب حاليًا أيضًا للمستخدمين الذين يحتاجون إلى الوصول إلى سجلات للموارد خارج Azure.	فرق التطبيق. مسؤولو موارد Azure المُراقبة. يسمح لهم بالتركيز على موردهم دون تصفية.
ما الذي يحتاجه المستخدم لعرض السجلات؟	أذونات إلى مساحة العمل. راجع أذونات مساحة العمل في إدارة الوصول باستخدام أذونات مساحة العمل.	وصول للقراءة فقط إلى المورد. راجع أذونات الموارد في إدارة الوصول باستخدام أذونات Azure. يمكن أن تكون الأذونات موروثة من مجموعة الموارد أو الاشتراك أو تعيينها مباشرة إلى المورد. سيتم تعيين الإذن إلى سجلات المورد تلقائيًا. لا يتطلب المستخدم الوصول إلى مساحة العمل.
ما هو نطاق الأذونات؟	مساحة العمل. يمكن للمستخدمين الذين لديهم حق الوصول إلى مساحة العمل الاستعلام عن كافة السجلات في مساحة العمل من الجداول التي لديهم أذونات إليها. راجع تعيين الوصول للقراءة على مستوى الجدول.	مورد Azure. يمكن للمستخدم الاستعلام عن سجلات موارد معينة أو مجموعات موارد أو اشتراك لديهم حق الوصول إليه في أي مساحة عمل ولكن لا يمكنها الاستعلام عن سجلات الموارد الأخرى.
كيف يمكن لمستخدم الوصول إلى سجلات؟	في قائمة Azure Monitor، حدد Logs. من Log Analytics workspace، حدد Logs. من مصنفات Azure Monitor.	حدد Logs في القائمة لمورد Azure. سيتمكن المستخدمون من الوصول إلى البيانات لهذا المورد. حدد Logs في قائمة Azure Monitor. سيتمكن المستخدمون من الوصول إلى البيانات لجميع الموارد التي لديهم حق الوصول إليها. حدد Logs من مساحات عمل Log Analytics، إذا كان لدى المستخدمين حق الوصول إلى مساحة العمل. من مصنفات Azure Monitor.

وضع التحكم في الوصول

وضع التحكم في الوصول هو إعداد على كل مساحة عمل يعرف كيفية تحديد الأذونات لمساحة العمل.

• طلب أذونات مساحة العمل. عنصر التحكم هذا لا يتيح التحكم في الوصول استناداً إلى الدور Azure متعدد المستويات. للوصول إلى مساحة العمل، يجب منح المستخدم أذونات لمساحة العمل أو لجداول معينة.

  إذا كان المستخدم يصل إلى مساحة العمل باتباع وضع سياق مساحة العمل، يكون لديه حق الوصول إلى كافة البيانات في أي جدول تم منحه حق الوصول إليه. إذا كان المستخدم يصل إلى مساحة العمل باتباع وضع سياق المورد، يكون لديه حق الوصول إلى البيانات الخاصة بهذا المورد فقط في أي جدول تم منحه حق الوصول إليه.

  هذا الإعداد هو الافتراضي لكافة مساحات العمل التي تم إنشاؤها قبل مارس 2019.

• استخدام أذونات المورد أو مساحة العمل. يتيح عنصر التحكم هذا التحكم في الوصول استناداً إلى الدور Azure متعدد المستويات. يمكن منح المستخدمين حق الوصول إلى البيانات المقترنة بالموارد التي يمكنهم عرضها فقط عن طريق تعيين read إذن Azure.

  عندما يصل مستخدم إلى مساحة العمل في وضع سياق مساحة العمل، يتم تطبيق أذونات مساحة العمل. عندما يصل مستخدم إلى مساحة العمل في وضع سياق المورد، يتم التحقق من أذونات المورد فقط، ويتم تجاهل أذونات مساحة العمل. تمكين Azure RBAC لمستخدم عن طريق إزالتها من أذونات مساحة العمل والسماح بالحصول على أذونات المورد الخاصة بهم.

  هذا الإعداد هو الافتراضي لكافة مساحات العمل التي تم إنشاؤها بعد مارس 2019.

  إشعار

  إذا كانت لدى المستخدم أذونات المورد فقط إلى مساحة العمل، فلن يتمكن من الوصول إلى مساحة العمل إلا باستخدام وضع سياق المورد مع افتراض تعيين وضع الوصول إلى مساحة العمل إلى استخدام أذونات المورد أو مساحة العمل.

تكوين وضع التحكم في الوصول لمساحة عمل

مدخل Microsoft Azure

اعرض وضع التحكم في الوصول إلى مساحة العمل الحالية في صفحة ⁧⁩نظرة عامة⁧⁩ لمساحة العمل في قائمة ⁧⁩تسجيل مساحة العمل⁧⁩.

غيّر هذا الإعداد من صفحة ⁧⁩الخصائص⁩ لمساحة العمل. إذا لم يكن لديك أذونات لتكوين مساحة العمل، يتم تعطيل تغيير الإعداد.

PowerShell

استخدم الأمر التالي لعرض وضع التحكم في الوصول لجميع مساحات العمل في الاشتراك:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

يجب أن يكون الإخراج مشابهًا لما يلي:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

تعني القيمة ⁧False⁩ أن مساحة العمل قد تم تكوينها باستخدام وضع الوصول إلى سياق مساحة العمل. تعني القيمة ⁧True⁩ أن مساحة العمل قد تم تكوينها باستخدام وضع الوصول إلى سياق المورد.

إشعار

إذا تم إرجاع مساحة عمل بدون قيمة منطقية، وكانت فارغة، وهذه النتيجة تتطابق أيضًا مع نتائج قيمة ⁧False⁩.

استخدم البرنامج النصي التالي لتعيين وضع التحكم في الوصول لمساحة عمل معينة على إذن سياق المورد:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

استخدم البرنامج النصي التالي لتعيين وضع التحكم في الوصول لجميع مساحات العمل في الاشتراك في إذن سياق المورد:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

لتكوين وضع الوصول في قالب Azure Resource Manager، قم بتعيين علامة الميزة ⁧⁩ enableLogAccessUsingOnlyResourcePermissions ⁧⁩ في مساحة العمل إلى إحدى القيم التالية:

• ⁧⁩خطأ⁧⁩: عيّن مساحة العمل على أذونات سياق مساحة العمل. هذا الإعداد هو الافتراضي إذا لم يتم تعيين العلم.
• ⁧⁩صواب⁧⁩: عيّن مساحة العمل على أذونات سياق المورد.

Azure RBAC

تتم إدارة الوصول إلى مساحة عمل باستخدام Azure التحكم في الوصول استناداً إلى الدور. لمنح حق الوصول إلى مساحة عمل Log Analytics باستخدام أذونات Azure، اتبع الخطوات الواردة في ⁧⁩ تعيين أدوار Azure لإدارة الوصول إلى موارد اشتراك Azure ⁧⁩.

أذونات مساحة العمل

كل مساحة عمل يمكن أن تحتوي على عدة حسابات مرتبطة بها. كل حساب يمكنه الوصول إلى عدة مساحات عمل. يسرد الجدول التالي أذونات Azure لإجراءات مساحة العمل المختلفة:

الإجراء	أذونات Azure المطلوبة	الملاحظات
تغيير مستوى الأسعار.	Microsoft.OperationalInsights/workspaces/*/write
إنشاء مساحة العمل في مدخل Microsoft Azure.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
اعرض الخصائص الأساسية لمساحة العمل، وادخل جزء مساحة العمل في البوابة الإلكترونية.	Microsoft.OperationalInsights/workspaces/read
سجلات الاستعلام باستخدام أي واجهة.	Microsoft.OperationalInsights/workspaces/query/read
الوصول إلى جميع أنواع السجلات باستخدام الاستعلامات.	Microsoft.OperationalInsights/workspaces/query/*/read
الوصول إلى جدول سجل محدد - أسلوب قديم	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
اقرأ مفاتيح مساحة العمل للسماح بإرسال السجلات إلى مساحة العمل هذه.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
إضافة حلول المراقبة وإزالتها.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write يجب منح هذه الأذونات على مستوى مجموعة الموارد أو الاشتراك.
عرض البيانات في قسمي الحل ⁧⁩النسخ الاحتياطي⁧⁩، و⁧⁩استرداد الموقع⁧⁩.	المسؤول/ المسؤول المشارك يصل إلى الموارد التي تم نشرها باستخدام نموذج النشر الكلاسيكي.
تشغيل مهمة بحث.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
استعادة البيانات من جدول مؤرشف.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

الأدوار المضمنة

تعيين مستخدمين لهذه الأدوار لمنحهم حق الوصول في نطاقات مختلفة:

• اشتراك: الوصول إلى جميع مساحات العمل في الاشتراك
• مجموعة الموارد: الوصول إلى كل مساحة العمل في مجموعة الموارد
• المورد: الوصول إلى مساحة العمل المحددة فقط

أنشئ المهام على مستوى الموارد (مساحة العمل)؛ لضمان التحكم الدقيق في الوصول. استخدم الأدوار المخصصة لإنشاء أدوار بالأذونات المحددة المطلوبة.

إشعار

لإضافة وإزالة مستخدمين إلى دور مستخدم، يجب أن يكون لديك إذن ⁧Microsoft.Authorization/*/Delete⁩ و⁧Microsoft.Authorization/*/Write⁩.

Log Analytics Reader

يمكن لأعضاء دور قارئ تحليلات السجل عرض جميع بيانات المراقبة وإعدادات المراقبة، بما في ذلك تكوين تشخيص Azure لجميع موارد Azure.

يمكن لأعضاء دور قارئ Log Analytics:

• عرض والبحث في جميع بيانات المراقبة.
• عرض إعدادات المراقبة، بما في ذلك عرض تكوين تشخيصات Azure على جميع موارد Azure.

يتضمن دور قارئ تحليلات السجل إجراءات Azure التالية:

النوع	إذن	‏‏الوصف
الإجراء	*/read	القدرة على عرض جميع موارد Azure، وتكوين الموارد. يشمل العرض: حالة تمديد الجهاز الظاهري. تكوين تشخيصات Azure على الموارد. جميع الخصائص والإعدادات لجميع الموارد. بالنسبة لمساحات العمل، فإنه يسمح بأذونات كاملة غير مقيدة؛ لقراءة إعدادات مساحة العمل، ويستعلم عن البيانات. راجع المزيد من الخيارات الدقيقة في القائمة السابقة.
الإجراء	Microsoft.Support/*	القدرة على فتح حالات الدعم.
لا عمل	Microsoft.OperationalInsights/workspaces/sharedKeys/read	يمنع قراءة مفتاح مساحة العمل المطلوب لاستخدام واجهة برمجة تطبيقات تجميع البيانات، ولتثبيت الوكلاء. هذا يمنع المستخدم من إضافة موارد جديدة إلى مساحة العمل.

Log Analytics Contributor

يمكن لأعضاء دور مساهم Log Analytics:

• اقرأ جميع بيانات المراقبة الممنوحة من قبل دور قارئ تحليلات السجل.
• تحرير إعدادات المراقبة لموارد Azure، بما في ذلك:
  • إضافة امتداد الجهاز الظاهري إلى الأجهزة الظاهرية.
  • تكوين تشخيصات Azure على جميع موارد Azure.
• إنشاء وتكوين حسابات الأتمتة. يجب منح الإذن على مستوى مجموعة الموارد أو الاشتراك.
• إضافة وإزالة حلول الإدارة. يجب منح الإذن على مستوى مجموعة الموارد أو الاشتراك.
• قراءة مفاتيح حساب التخزين.
• تكوين مجموعة السجلات من تخزين Azure.
• قواعد تكوين تصدير البيانات.
• تشغيل مهمة بحث.
• استعادة السجلات المؤرشفة.

التحذير

يمكنك استخدام الإذن على إضافة امتداد جهاز ظاهري إلى جهاز افتراضي؛ للتحكم الكامل في جهاز افتراضي.

يتضمن دور "مساهم تحليلات السجل" إجراءات Azure التالية:

إذن	‏‏الوصف
*/read	القدرة على عرض جميع موارد Azure، وتكوين الموارد. يشمل العرض: حالة تمديد الجهاز الظاهري. تكوين تشخيصات Azure على الموارد. جميع الخصائص والإعدادات لجميع الموارد. بالنسبة لمساحات العمل، فإنه يسمح بأذونات كاملة غير مقيدة؛ لقراءة إعدادات مساحة العمل، ويستعلم عن البيانات. راجع المزيد من الخيارات الدقيقة في القائمة السابقة.
Microsoft.Automation/automationAccounts/*	القدرة على إنشاء حسابات أتمتة Azure وتكوينها، بما في ذلك إضافة دفاتر التشغيل وتحريرها.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	قم بإضافة وتحديث وإزالة ملحقات الجهاز الظاهري، بما في ذلك ملحق Microsoft Monitoring Agent، وOMS Agent لـ Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	عرض مفتاح حساب التخزين. مطلوب لتكوين تحليلات السجل لقراءة السجلات من حسابات تخزين Azure.
Microsoft.Insights/alertRules/*	إضافة، وتحديث، وإزالة قواعد التنبيه.
Microsoft.Insights/diagnosticSettings/*	قم بإضافة، وتحديث، وإزالة إعدادات التشخيص في موارد Azure.
Microsoft.OperationalInsights/*	إضافة وتحديث وإزالة التكوين لمساحات عمل Log Analytics. لتحرير الإعدادات المتقدمة لمساحة العمل، يحتاج المستخدم إلى Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	إضافة وإزالة حلول الإدارة.
Microsoft.Resources/deployments/*	إنشاء وحذف عمليات النشر. مطلوب لإضافة وإزالة الحلول، ومساحات العمل، وحسابات التشغيل الآلي.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	إنشاء وحذف عمليات النشر. مطلوب لإضافة وإزالة الحلول، ومساحات العمل، وحسابات التشغيل الآلي.

أذونات الموارد

لقراءة البيانات من أو إرسال البيانات إلى مساحة عمل في سياق المورد، تحتاج إلى هذه الأذونات على المورد:

إذن	‏‏الوصف
Microsoft.Insights/logs/*/read	القدرة على عرض جميع بيانات السجل للمورد
Microsoft.Insights/logs/<tableName>/read مثال: Microsoft.Insights/logs/Heartbeat/read	القدرة على عرض جدول معين لهذا المورد - أسلوب قديم
Microsoft.Insights/diagnosticSettings/write	القدرة على تكوين إعدادات التشخيص للسماح بإعداد السجلات لهذا المورد

يتم عادةً منح إذن ⁧/read⁩من دور يتضمن⁧⁩ ⁩*/read⁩⁧⁧* أو أذونات؛ مثل: الأدوار المضمنة في ⁧القارئ⁧⁩، و المساهم⁧⁩. قد لا تتضمن الأدوار المخصصة التي تتضمن إجراءات محددة، أو أدوارًا مضمنة مخصصة هذا الإذن.

أمثلة الأدوار المخصصة

بالإضافة إلى استخدام الأدوار المضمنة لمساحة عمل Log Analytics، يمكنك إنشاء أدوار مخصصة لتعيين أذونات أكثر دقة. فيما يلي بعض الأمثلة الشائعة.

مثال 1: منح المستخدم الإذن لقراءة بيانات السجل من موارده.

• قم بتكوين وضع التحكم في الوصول إلى مساحة العمل ⁧⁩لاستخدام مساحة العمل، أو أذونات الموارد⁧⁩.
• منح المستخدمين */read أو Microsoft.Insights/logs/*/read الأذونات لمواردهم. إذا تم تعيين دور ⁧⁩قارئ تحليلات السجل⁧⁩ في مساحة العمل، فهذا يكفي.

مثال 2: منح المستخدم الإذن لقراءة بيانات السجل من موارده وتشغيل مهمة بحث.

• قم بتكوين وضع التحكم في الوصول إلى مساحة العمل ⁧⁩لاستخدام مساحة العمل، أو أذونات الموارد⁧⁩.
• منح المستخدمين */read أو Microsoft.Insights/logs/*/read الأذونات لمواردهم. إذا تم تعيين دور ⁧⁩قارئ تحليلات السجل⁧⁩ في مساحة العمل، فهذا يكفي.
• امنح المستخدمين الأذونات التالية على مساحة العمل:
  • Microsoft.OperationalInsights/workspaces/tables/write: مطلوب لكي تتمكن من إنشاء جدول نتائج البحث (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: مطلوب للسماح بتنفيذ عملية مهمة البحث.

مثال 3: منح المستخدم إذنا لقراءة بيانات السجل من موارده وتكوين موارده لإرسال السجلات إلى مساحة عمل Log Analytics.

• قم بتكوين وضع التحكم في الوصول إلى مساحة العمل ⁧⁩لاستخدام مساحة العمل، أو أذونات الموارد⁧⁩.
• امنح المستخدمين الأذونات التالية على مساحة العمل: Microsoft.OperationalInsights/workspaces/read و Microsoft.OperationalInsights/workspaces/sharedKeys/action. باستخدام هذه الأذونات، لا يمكن للمستخدمين إجراء أي استعلامات على مستوى مساحة العمل. يمكنهم فقط تعداد مساحة العمل واستخدامها كوجهة لإعدادات التشخيص، أو تكوين الوكيل.
• امنح المستخدمين الأذونات التالية لمواردهم: Microsoft.Insights/logs/*/read و Microsoft.Insights/diagnosticSettings/write. إذا تم تعيين دور ⁧⁩مساهم في تحليلات السجل⁧⁩، أو تعيين دور القارئ، أو منحهم أذونات ⁧*/read⁩ على هذا المورد، فسيكون ذلك كافيًا.

مثال 4: منح المستخدم إذنا لقراءة بيانات السجل من موارده، ولكن ليس لإرسال سجلات إلى مساحة عمل Log Analytics أو قراءة أحداث الأمان.

• قم بتكوين وضع التحكم في الوصول إلى مساحة العمل ⁧⁩لاستخدام مساحة العمل، أو أذونات الموارد⁧⁩.
• امنح المستخدمين الأذونات التالية لمواردهم: Microsoft.Insights/logs/*/read.
• أضف NonAction التالي لمنع المستخدمين من قراءة نوع SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. يجب أن يكون NonAction في نفس الدور المخصص مثل الإجراء الذي يوفر إذن القراءة (Microsoft.Insights/logs/*/read). إذا كان المستخدم قد توارث إجراء القراءة من دور آخر تم تعيينه لهذا المورد، أو إلى مجموعة الموارد أو الاشتراك، فسيتمكن من قراءة جميع أنواع السجلات. يكون هذا السيناريو صحيحًا أيضًا إذا كانوا يرثون ⁧*/read⁩ موجود، على سبيل المثال، مع دور القارئ أو المساهم.

مثال 5: منح المستخدم إذنا لقراءة بيانات السجل من موارده وجميع بيانات سجل حل إدارة التحديث في مساحة عمل Log Analytics.

• قم بتكوين وضع التحكم في الوصول إلى مساحة العمل ⁧⁩لاستخدام مساحة العمل، أو أذونات الموارد⁧⁩.
• امنح المستخدمين الأذونات التالية على مساحة العمل:
  • Microsoft.OperationalInsights/workspaces/read: مطلوب حتى يتمكن المستخدم من تعداد مساحة العمل، وفتح جزء مساحة العمل في مدخل Microsoft Azure
  • Microsoft.OperationalInsights/workspaces/query/read: مطلوب لكل مستخدم يمكنه تنفيذ الاستعلامات
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: لكي تتمكن من قراءة سجلات تسجيل الدخول إلى Microsoft Entra
  • Microsoft.OperationalInsights/workspaces/query/Update/read: لتتمكن من قراءة سجلات حلول إدارة التحديث
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: لتتمكن من قراءة سجلات حلول إدارة التحديث
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: لتتمكن من قراءة تحديث سجلات الإدارة
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: مطلوب لتتمكن من استخدام حل إدارة التحديث
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: مطلوب لتتمكن من استخدام حل إدارة التحديث
• امنح المستخدمين الأذونات التالية لمواردهم: ⁧*/read⁩، المعينة إلى دور القارئ، أو ⁧Microsoft.Insights/logs/*/read⁩

مثال 6: تقييد مستخدم من استعادة السجلات المؤرشفة.

• قم بتكوين وضع التحكم في الوصول إلى مساحة العمل ⁧⁩لاستخدام مساحة العمل، أو أذونات الموارد⁧⁩.
• تعيين المستخدم إلى دور مساهم Log Analytics.
• أضف NonAction التالي لمنع المستخدمين من استعادة السجلات المؤرشفة: Microsoft.OperationalInsights/workspaces/restoreLogs/write

تعيين الوصول للقراءة على مستوى الجدول

تتيح لك إعدادات الوصول على مستوى الجدول منح مستخدمين أو مجموعات معينة إذنا للقراءة فقط للبيانات من جداول معينة. يمكن للمستخدمين الذين لديهم وصول للقراءة على مستوى الجدول قراءة البيانات من الجداول المحددة في كل من مساحة العمل وسياق المورد.

إشعار

نوصي باستخدام الأسلوب الموضح هنا، وهو قيد المعاينة حاليا، لتحديد الوصول على مستوى الجدول. بدلا من ذلك، يمكنك استخدام الأسلوب القديم لإعداد الوصول للقراءة على مستوى الجدول، والذي يحتوي على بعض القيود المتعلقة بجداول السجل المخصصة. أثناء المعاينة، لا تنطبق الطريقة الموصى بها الموضحة هنا على قواعد الكشف عن Microsoft Sentinel، والتي قد يكون لها حق الوصول إلى جداول أكثر مما هو مقصود. قبل استخدام أي من الأسلوبين، راجع اعتبارات وقيود الوصول على مستوى الجدول.

يتضمن منح حق الوصول للقراءة على مستوى الجدول تعيين دورين للمستخدم:

• على مستوى مساحة العمل - دور مخصص يوفر أذونات محدودة لقراءة تفاصيل مساحة العمل وتشغيل استعلام في مساحة العمل، ولكن ليس لقراءة البيانات من أي جداول.
• على مستوى الجدول - دور القارئ ، محدد النطاق للجدول المحدد.

لمنح مستخدم أو مجموعة أذونات محدودة لمساحة عمل Log Analytics:

1. إنشاء دور مخصص على مستوى مساحة العمل للسماح للمستخدمين بقراءة تفاصيل مساحة العمل وتشغيل استعلام في مساحة العمل، دون توفير الوصول للقراءة إلى البيانات في أي جداول:

   1. انتقل إلى مساحة العمل وحدد Access control (IAM)>Roles.

   2. انقر بزر الماوس الأيمن فوق دور القارئ وحدد Clone.

      

      يؤدي ذلك إلى فتح شاشة إنشاء دور مخصص.

   3. في علامة التبويب Basics على الشاشة:

      1. أدخل قيمة اسم دور مخصص، وقم، اختياريا، بتوفير وصف.
      2. تعيين أذونات الأساس إلى البدء من البداية.

      

   4. حدد علامة التبويب >JSON Edit:

      1. في "actions" القسم ، أضف هذه الإجراءات:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. في "not actions" القسم ، أضف:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. حدد Save>Review + Create في أسفل الشاشة، ثم Create في الصفحة التالية.

2. تعيين دورك المخصص للمستخدم ذي الصلة:

   1. حدد Access control (AIM)>Add>Add role assignment.

      

   2. حدد الدور المخصص الذي أنشأته وحدد التالي.

      

      يؤدي ذلك إلى فتح علامة التبويب الأعضاء في شاشة إضافة تعيين دور مخصص.

   3. انقر فوق + Select members لفتح شاشة Select members .

      

   4. ابحث عن مستخدم وحدده وانقر فوق تحديد.

   5. حدد Review and assign.

يمكن للمستخدم الآن قراءة تفاصيل مساحة العمل وتشغيل استعلام، ولكن لا يمكنه قراءة البيانات من أي جداول.

لمنح المستخدم حق الوصول للقراءة إلى جدول معين:

1. من قائمة مساحات عمل Log Analytics، حدد Tables.

2. حدد علامة الحذف ( ... ) على يمين الجدول وحدد Access control (IAM).

   

3. في شاشة Access control (IAM)، حدد Add>Add role assignment.

4. حدد دور القارئ وحدد التالي.

5. انقر فوق + Select members لفتح شاشة Select members .

6. ابحث عن المستخدم وحدده وانقر فوق تحديد.

7. حدد Review and assign.

يمكن للمستخدم الآن قراءة البيانات من هذا الجدول المحدد. امنح المستخدم حق الوصول للقراءة إلى الجداول الأخرى في مساحة العمل، حسب الحاجة.

الطريقة القديمة لإعداد الوصول للقراءة على مستوى الجدول

تستخدم الطريقة القديمة على مستوى الجدول أيضا أدوار Azure المخصصة للسماح لك بمنح مستخدمين أو مجموعات معينة حق الوصول إلى جداول معينة في مساحة العمل. تنطبق أدوار Azure المخصصة على مساحات العمل مع أوضاع التحكم في الوصول إلى سياق مساحة العمل أو سياق المورد بغض النظر عن وضع وصول المستخدم.

لتعريف الوصول إلى جدول معين، قم بإنشاء دور مخصص:

• تعيين أذونات المستخدم في قسم الإجراءات في تعريف الدور.
• استخدم Microsoft.OperationalInsights/workspaces/query/* لمنح حق الوصول إلى جميع الجداول.
• لاستبعاد الوصول إلى جداول معينة عند استخدام حرف بدل في الإجراءات، قم بإدراج الجداول المستبعدة في قسم NotActions من تعريف الدور.

فيما يلي أمثلة على إجراءات الدور المخصصة لمنح الوصول إلى جداول معينة ورفضه.

منح حق الوصول إلى جداول HeartbeatوAzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

منح حق الوصول إلى جدول SecurityBaseline فقط:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

منح حق الوصول إلى كافة الجداول باستثناء جدول SecurityAlert:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

قيود الأسلوب القديم المتعلق بالجداول المخصصة

تخزن الجداول المخصصة البيانات التي تجمعها من مصادر البيانات مثل سجلات النص وواجهة برمجة تطبيقات HTTP Data Collector. لتعريف نوع الجدول، اعرض معلومات الجدول في Log Analytics.

باستخدام الأسلوب القديم للوصول على مستوى الجدول، لا يمكنك منح حق الوصول إلى جداول السجل المخصصة الفردية على مستوى الجدول، ولكن يمكنك منح حق الوصول إلى جميع جداول السجل المخصصة. لإنشاء دور يتمتع بإمكانية الوصول إلى جميع سجلات الجداول المخصصة، أنشئ دورًا مخصصًا باستخدام الإجراءات التالية:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

اعتبارات وقيود الوصول على مستوى الجدول

• في واجهة مستخدم Log Analytics، يمكن للمستخدمين الذين لديهم مستوى جدول رؤية قائمة بجميع الجداول في مساحة العمل، ولكن يمكنهم استرداد البيانات فقط من الجداول التي لديهم حق الوصول إليها.
• تتجاوز أدوار القارئ أو المساهم القياسية، والتي تتضمن الإجراء */read ، التحكم في الوصول على مستوى الجدول وتمنح المستخدمين حق الوصول إلى جميع بيانات السجل.
• يمكن للمستخدم الذي لديه وصول على مستوى الجدول ولكن لا توجد أذونات على مستوى مساحة العمل الوصول إلى بيانات السجل من واجهة برمجة التطبيقات ولكن ليس من مدخل Microsoft Azure.
• يمكن مسؤول المسجلين ومالكي الاشتراك الوصول إلى جميع أنواع البيانات بغض النظر عن أي إعدادات أذونات أخرى.
• يتم التعامل مع مالكي مساحات العمل مثل أي مستخدم آخر للتحكم في الوصول لكل جدول.
• قم بتعيين الأدوار لمجموعات الأمان بدلاً من المستخدمين الفرديين لتقليل عدد التعيينات. سيساعدك هذا التدريب أيضًا في استخدام أدوات إدارة المجموعة الحالية لتكوين الوصول، والتحقق منه.

الخطوات التالية

• راجع نظرة عامة على عامل Log Analytics لجمع البيانات من أجهزة الكمبيوتر في مركز البيانات أو بيئة سحابية أخرى.
• راجع جمع البيانات حول أجهزة Azure الظاهرية لتكوين جمع البيانات من أجهزة Azure الظاهرية.