Správa přístupu k pracovním prostorům služby Log Analytics

Faktory, které určují, ke kterým datům máte přístup v pracovním prostoru služby Log Analytics, jsou:

• Nastavení v samotném pracovním prostoru.
• Vaše přístupová oprávnění k prostředkům, které odesílají data do pracovního prostoru.
• Metoda použitá pro přístup k pracovnímu prostoru.

Tento článek popisuje, jak spravovat přístup k datům v pracovním prostoru služby Log Analytics.

Přehled

Faktory definující data, ke kterým máte přístup, jsou popsány v následující tabulce. Každý faktor je podrobněji popsán v následujících částech.

Faktor	Popis
Režim přístupu	Metoda použitá pro přístup k pracovnímu prostoru. Definuje rozsah dostupných dat a použitý režim řízení přístupu.
Režim řízení přístupu	Nastavení pracovního prostoru, které definuje, zda se oprávnění použijí na úrovni pracovního prostoru nebo prostředku.
Azure RBAC (řízení přístupu na základě role)	Oprávnění udělená jednotlivcům nebo skupinám uživatelů pro pracovní prostor nebo prostředek, který odesílá data do pracovního prostoru. Definuje, ke kterým datům máte přístup.
Podrobné řízení přístupu na základě role	Volitelná oprávnění, která definují přístup na úrovni tabulky a řádku na základě podmínek Platí pro všechny režimy přístupu, ale měly by se používat pouze s režimem řízení přístupu pracovního prostoru.
Azure RBAC na úrovni tabulky	Volitelná oprávnění definující konkrétní datové typy v pracovním prostoru, ke kterému máte přístup. Platí pro všechny režimy přístupu nebo režimy řízení přístupu.

Režim přístupu

Režim přístupu odkazuje na to, jak máte přístup k pracovnímu prostoru služby Log Analytics, a definuje data, ke kterým můžete přistupovat během aktuální relace. Režim se určuje podle rozsahu, který vyberete v Log Analytics.

Existují dva režimy přístupu:

• Kontext pracovního prostoru: Můžete zobrazit všechny protokoly v pracovním prostoru, ke kterému máte oprávnění. Dotazy v tomto režimu jsou vymezeny na všechna data v tabulkách, ke kterým máte přístup v pracovním prostoru. Tento režim přístupu se používá, když jsou protokoly přístupné s pracovním prostorem jako s oborem, když vyberete protokoly v menu Azure Monitor v Azure portálu.

• Kontext prostředku: Při přístupu k pracovnímu prostoru pro konkrétní prostředek, skupinu prostředků nebo předplatné, například při výběru protokolů z nabídky prostředků na webu Azure Portal, můžete zobrazit protokoly pouze pro prostředky ve všech tabulkách, ke kterým máte přístup. Dotazy v tomto režimu jsou omezené pouze na data přidružená k tomuto prostředku. Tento režim také umožňuje podrobné řízení přístupu na základě role v Azure. Pracovní prostory používají model protokolu kontextu prostředku, ve kterém se k tomuto prostředku automaticky přidruží každý záznam protokolu vygenerovaný prostředkem Azure.

Záznamy jsou k dispozici pouze v dotazech kontextových prostředků, pokud jsou přidružené k příslušnému prostředku. Pokud chcete toto přidružení zkontrolovat, spusťte dotaz a ověřte, že je vyplněný sloupec _ResourceId .

Existují známá omezení s následujícími prostředky:

• Počítače mimo Azure: Kontext prostředků se podporuje jenom se službou Azure Arc pro servery.
• Application Insights: Podporováno pouze pro kontext zdrojů při použití prostředku Application Insights založeného na pracovním prostoru.
• Azure Service Fabric

Porovnání režimů přístupu

Následující tabulka shrnuje režimy přístupu:

Problém	Kontext pracovního prostoru	Kontext zdroje
Pro koho je každý model určený?	Centrální správa. Správci, kteří potřebují konfigurovat shromažďování dat a uživatele, kteří potřebují přístup k široké škále prostředků V současné době se vyžaduje, aby uživatelé, kteří potřebují přistupovat k protokolům pro prostředky mimo Azure, také měli tuto povinnost.	Aplikační týmy. Správci monitorovaných prostředků Azure Umožňuje jim soustředit se na svůj prostředek bez filtrování.
Co uživatel vyžaduje k zobrazení protokolů?	Oprávnění k pracovnímu prostoru Viz Oprávnění pracovního prostoru ve správě přístupu pomocí oprávnění pracovního prostoru.	Přístup pro čtení k prostředku. Viz Oprávnění k prostředkům ve "Správa přístupu pomocí oprávnění Azure". Oprávnění mohou být zděděna ze skupiny prostředků nebo předplatného nebo přímo přiřazena k prostředku. Oprávnění k protokolům prostředku se automaticky přiřadí. Uživatel nevyžaduje přístup k pracovnímu prostoru.
Jaký je rozsah oprávnění?	Pracovní plocha. Uživatelé s přístupem k pracovnímu prostoru můžou dotazovat všechny protokoly v pracovním prostoru z tabulek, ke kterým mají oprávnění. Viz Nastavení přístupu pro čtení na úrovni tabulky.	Prostředek Azure. Uživatelé můžou dotazovat protokoly pro konkrétní prostředky, skupiny prostředků nebo předplatná, ke kterým mají přístup v jakémkoli pracovním prostoru, ale nemůžou dotazovat protokoly pro jiné prostředky.
Jak může uživatel přistupovat k protokolům?	V nabídce Služby Azure Monitor vyberte Protokoly. Vyberte protokoly z pracovních prostorů služby Log Analytics. V sešitech Azure Monitoru, když je pro typ prostředku vybraný pracovní prostor služby Log Analytics.	V nabídce prostředku Azure vyberte Protokoly. Uživatelé budou mít přístup k datům pro tento prostředek. V nabídce Azure Monitor vyberte Protokoly. Uživatelé budou mít přístup k datům pro všechny prostředky, ke kterým mají přístup. Pokud mají uživatelé přístup k pracovnímu prostoru, vyberte Protokoly z pracovního prostoru Log Analytics. V sešitech Azure Monitoru, když je pro typ prostředku vybrán prostředek.

Režim řízení přístupu

Režim řízení přístupu je nastavení v každém pracovním prostoru, které definuje způsob určení oprávnění pro daný pracovní prostor.

• Vyžadovat oprávnění k pracovnímu prostoru. Tento režim řízení neumožňuje podrobné Azure RBAC. Aby měl uživatel přístup k pracovnímu prostoru, musí mít udělená oprávnění k pracovnímu prostoru nebo konkrétním tabulkám.

  Pokud uživatel přistupuje k pracovnímu prostoru v režimu kontextu pracovního prostoru, má přístup ke všem datům v libovolné tabulce, ke které má udělený přístup. Pokud uživatel přistupuje k pracovnímu prostoru v režimu kontextu prostředku, má přístup jenom k datům pro daný prostředek v libovolné tabulce, ke které má udělený přístup.

  Toto nastavení je výchozí pro všechny pracovní prostory vytvořené před březnem 2019.

• Použijte oprávnění k prostředku nebo pracovnímu prostoru. Tento řídicí režim umožňuje jemné Azure RBAC. Uživatelům je možné udělit přístup jenom k datům přidruženým k prostředkům, které můžou zobrazit přiřazením oprávnění Azure read .

  Když uživatel přistupuje k pracovnímu prostoru v režimu kontextu pracovního prostoru, použijí se oprávnění pracovního prostoru. Když uživatel přistupuje k pracovnímu prostoru v režimu kontextu prostředků, ověřují se pouze oprávnění k prostředkům a oprávnění k pracovnímu prostoru se ignorují. Povolte Azure RBAC pro uživatele tak, že jej odeberete z oprávnění pracovní prostor a umožníte, aby jeho oprávnění k prostředkům byla rozpoznána.

  Toto nastavení je výchozí pro všechny pracovní prostory vytvořené po březnu 2019.

  Poznámka:

  Pokud má uživatel k pracovnímu prostoru oprávnění pouze k prostředkům, může k pracovnímu prostoru přistupovat pouze pomocí režimu kontextu prostředků za předpokladu, že je režim přístupu k pracovnímu prostoru nastavený na Použít oprávnění k prostředkům nebo pracovnímu prostoru.

Konfigurace režimu řízení přístupu pro pracovní prostor

Azure Portal

V nabídce pracovního prostoru služby Log Analytics zobrazte aktuální režim řízení přístupu k pracovnímu prostoru na stránce Přehled pracovního prostoru.

Toto nastavení změňte na stránce Vlastnosti pracovního prostoru. Pokud nemáte oprávnění ke konfiguraci pracovního prostoru, je změna nastavení zakázaná.

PowerShell

Pomocí následujícího příkazu zobrazte režim řízení přístupu pro všechny pracovní prostory v předplatném:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

Výstup by měl vypadat takto:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Hodnota False znamená, že pracovní prostor je nakonfigurovaný s režimem přístupu pracovního-prostoru-kontextu. Hodnota True znamená, že pracovní prostor je nakonfigurovaný s režimem přístupu context zdrojů.

Poznámka:

Pokud se pracovní prostor vrátí bez logické hodnoty a je prázdný, odpovídá to také výsledkům hodnoty False.

Pomocí následujícího skriptu nastavte režim řízení přístupu pro konkrétní pracovní prostor na oprávnění kontextu prostředku:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Pomocí následujícího skriptu nastavte režim řízení přístupu pro všechny pracovní prostory v rámci předplatného na oprávnění kontextu prostředku:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Pokud chcete nakonfigurovat režim přístupu v šabloně Azure Resource Manageru, nastavte příznak funkce enableLogAccessUsingOnlyResourcePermissions v pracovním prostoru na jednu z následujících hodnot:

• false: Nastavte pracovní prostor na oprávnění workspace-context. Toto nastavení je výchozí, pokud není příznak nastavený.
• true: Nastavte pracovní prostor na oprávnění podle kontextu prostředků.

Azure RBAC

Přístup k pracovnímu prostoru se spravuje pomocí Azure RBAC. Pokud chcete udělit přístup k pracovnímu prostoru Služby Log Analytics pomocí oprávnění Azure, postupujte podle pokynů v tématu Přiřazení rolí Azure ke správě přístupu k prostředkům předplatného Azure.

Oprávnění pracovního prostoru

Každý pracovní prostor může mít přidružených více účtů. Každý účet může mít přístup k více pracovním prostorům. Následující tabulka uvádí oprávnění Azure pro různé akce pracovního prostoru:

Akce	Potřebná oprávnění Azure	Poznámky
Změňte cenovou úroveň.	Microsoft.OperationalInsights/workspaces/*/write
Vytvořte pracovní prostor na webu Azure Portal.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Zobrazte základní vlastnosti pracovního prostoru a přejděte na podokno pracovního prostoru na portálu.	Microsoft.OperationalInsights/workspaces/read
Dotazování protokolů pomocí libovolného rozhraní	Microsoft.OperationalInsights/workspaces/query/read
Přístup ke všem typům protokolů pomocí dotazů	Microsoft.OperationalInsights/workspaces/query/*/read
Přístup ke konkrétní tabulce protokolu – starší metoda	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Přečtěte si klíče pracovního prostoru a povolte odesílání protokolů do tohoto pracovního prostoru.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Vytvoření nebo aktualizace souhrnného pravidla	Microsoft.Operationalinsights/workspaces/summarylogs/write
Přidání a odebrání řešení monitorování	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Tato oprávnění je potřeba udělit na úrovni skupiny prostředků nebo předplatného.
Zobrazte data v dlaždicích Backup a Site Recovery.	Správce/spolusprávce Přistupuje k prostředkům nasazeným pomocí modelu nasazení Classic.
Spusťte úlohu hledání.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Obnovte data z dlouhodobého uchovávání.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write
Vytvoření nebo úprava pravidla souhrnu	Microsoft.Operationalinsights/workspaces/summarylogs/psát

Předdefinované role

Přiřaďte uživatelům tyto role, abyste jim mohli udělit přístup v různých oborech:

• Předplatné: Přístup ke všem pracovním prostorům v předplatném
• Skupina prostředků: Přístup ke všem pracovním prostorům ve skupině prostředků
• Prostředek: Přístup pouze k zadanému pracovnímu prostoru

Vytvořte přiřazení na úrovni zdroje (pracovního prostoru), abyste zajistili přesné řízení přístupu. Pomocí vlastních rolí můžete vytvářet role s konkrétními požadovanými oprávněními.

Poznámka:

Pokud chcete přidat nebo odebrat uživatele v roli uživatele, musíte mít oprávnění Microsoft.Authorization/*/Delete a Microsoft.Authorization/*/Write.

Čtenář Log Analytics

Členové role Čtenář Log Analytics můžou zobrazit veškerá monitorovací data a nastavení monitorování, včetně konfigurace diagnostiky Azure pro všechny zdroje Azure. Umožňuje členům zobrazit všechna data o prostředcích v rámci přiřazeného oboru, včetně:

• Umožňuje zobrazit a prohledat všechna data monitorování.
• Zobrazení nastavení monitorování, včetně zobrazení konfigurace diagnostiky Azure pro všechny prostředky Azure

Role Čtenář Log Analytics zahrnuje následující akce v Azure:

Typ	Oprávnění	Popis
Akce	*/read	Možnost zobrazit všechny prostředky Azure a konfiguraci prostředků Zahrnuje zobrazení: – Stav rozšíření virtuálního počítače. – Konfigurace diagnostiky Azure pro prostředky. – Všechny vlastnosti a nastavení všech zdrojů. U pracovních prostorů umožňuje úplná neomezená oprávnění ke čtení nastavení pracovního prostoru a dotazování dat. Podívejte se na podrobnější možnosti v předchozím seznamu.
Akce	Microsoft.Support/*	Možnost otevírat případy podpory
Není akce	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Zabrání čtení klíče pracovního prostoru potřebného k použití rozhraní API pro shromažďování dat a instalaci agentů. Tím zabráníte uživateli v přidávání nových prostředků do pracovního prostoru.

Přispěvatel Log Analytics

Přispěvatelé role Log Analytics mohou:

• Čtěte všechna monitorovací data poskytnutá rolí Log Analytics Reader.
• Úprava nastavení monitorování pro prostředky Azure, včetně:
  • Přidání rozšíření k virtuálním počítačům
  • Konfigurace diagnostiky Azure pro všechny prostředky Azure
• Vytvořte a nakonfigurujte účty Automation. Oprávnění musí být uděleno na úrovni skupiny prostředků nebo předplatného.
• Přidejte a odeberte řešení pro správu. Oprávnění musí být uděleno na úrovni skupiny prostředků nebo předplatného.
• Čtení klíčů účtu úložiště
• Nakonfigurujte kolekci protokolů ze služby Azure Storage.
• Nakonfigurujte pravidla exportu dat.
• Spusťte úlohu hledání.
• Obnovte data z dlouhodobého uchovávání.

Varování

Pomocí oprávnění můžete do virtuálního počítače přidat rozšíření virtuálního počítače, abyste získali plnou kontrolu nad virtuálním počítačem.

Role Přispěvatel Log Analytics zahrnuje následující akce Azure:

Oprávnění	Popis
*/read	Možnost zobrazit všechny prostředky Azure a konfiguraci prostředků Zahrnuje zobrazení: – Stav rozšíření virtuálního počítače. – Konfigurace diagnostiky Azure pro prostředky. – Všechny vlastnosti a nastavení všech zdrojů. U pracovních prostorů umožňuje úplná neomezená oprávnění ke čtení nastavení pracovního prostoru a dotazování dat. Podívejte se na podrobnější možnosti v předchozím seznamu.
Microsoft.Automation/automationAccounts/*	Možnost vytvářet a konfigurovat účty Azure Automation, včetně přidávání a úprav runbooků
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Přidejte, aktualizujte a odeberte rozšíření virtuálních počítačů, včetně rozšíření Microsoft Monitoring Agent a rozšíření OMS Agent pro Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Zobrazení klíče účtu úložiště. Vyžaduje se ke konfiguraci Log Analytics pro čtení protokolů z účtů Azure Storage.
Microsoft.Insights/alertRules/*	Přidání, aktualizace a odebrání pravidel upozornění
Microsoft.Insights/diagnosticSettings/*	Přidání, aktualizace a odebrání nastavení diagnostiky u prostředků Azure
Microsoft.OperationalInsights/*	Přidejte, aktualizujte a odstraňte konfiguraci pro pracovní prostory služby Log Analytics. Chcete-li upravit upřesňující nastavení pracovního prostoru, musí mít uživatel Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Přidejte a odeberte řešení pro správu.
Microsoft.Resources/deployments/*	Vytvoření a odstranění nasazení. Je vyžadováno pro přidávání a odebírání řešení, pracovních prostorů a automatizačních účtů.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Vytvoření a odstranění nasazení. Je vyžadováno pro přidávání a odebírání řešení, pracovních prostorů a automatizačních účtů.

Oprávnění k prostředkům

Pokud chcete číst data z pracovního prostoru nebo je posílat do pracovního prostoru v kontextu prostředku, potřebujete k prostředku tato oprávnění:

Oprávnění	Popis
Microsoft.Insights/logs/*/read	Možnost zobrazit veškerá protokolová data pro prostředek
Microsoft.Insights/logs/<tableName>/read Příklad: Microsoft.Insights/logs/Heartbeat/read	Možnost zobrazit konkrétní tabulku pro tento prostředek – starší metoda
Microsoft.Insights/diagnosticSettings/write	Možnost konfigurovat nastavení diagnostiky tak, aby umožňovala nastavení protokolů pro tento prostředek

Oprávnění /read je obvykle uděleno z role, která zahrnuje */čtení nebo* oprávnění, jako jsou vestavěné role Čtenář a Přispěvatel. Vlastní role, které zahrnují konkrétní akce nebo vyhrazené předdefinované role, nemusí toto oprávnění obsahovat.

Příklady vlastních rolí

Kromě použití předdefinovaných rolí pro pracovní prostor služby Log Analytics můžete vytvořit vlastní role pro přiřazení podrobnějších oprávnění. Tady je několik běžných příkladů.

Příklad 1: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků.

• Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění pracovního prostoru nebo prostředku.
• Udělte uživatelům */read nebo Microsoft.Insights/logs/*/read oprávnění k jejich prostředkům. Pokud už mají v pracovním prostoru přiřazenou roli Čtenář Log Analytics, stačí.

Příklad 2: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků a spuštění úlohy vyhledávání.

• Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění pracovního prostoru nebo prostředku.
• Udělte uživatelům */read nebo Microsoft.Insights/logs/*/read oprávnění k jejich prostředkům. Pokud už mají v pracovním prostoru přiřazenou roli Čtenář Log Analytics, stačí.
• Udělte uživatelům následující oprávnění k pracovnímu prostoru:
  • Microsoft.OperationalInsights/workspaces/tables/write: Vyžaduje se, aby bylo možné vytvořit tabulku výsledků hledání (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: Vyžaduje se, aby bylo možné spustit operaci úlohy vyhledávání.

Příklad 3: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků a nakonfigurujte své prostředky tak, aby odesílaly protokoly do pracovního prostoru služby Log Analytics.

• Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění pracovního prostoru nebo prostředku.
• Udělte uživatelům následující oprávnění k pracovnímu prostoru: Microsoft.OperationalInsights/workspaces/read a Microsoft.OperationalInsights/workspaces/sharedKeys/action. S těmito oprávněními nemůžou uživatelé provádět žádné dotazy na úrovni pracovního prostoru. Můžou vytvořit výčet pouze pracovního prostoru a použít ho jako cíl pro nastavení diagnostiky nebo konfiguraci agenta.
• Udělte uživatelům následující oprávnění k prostředkům: Microsoft.Insights/logs/*/read a Microsoft.Insights/diagnosticSettings/write. Pokud už mají přiřazenou roli Přispěvatel Log Analytics, roli Čtenář, nebo jim byla udělena oprávnění k tomuto prostředku, je to dostačující.

Příklad 4: Udělte uživateli oprávnění ke čtení dat protokolu ze svých prostředků, ale ne k odesílání protokolů do pracovního prostoru služby Log Analytics nebo ke čtení událostí zabezpečení.

• Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění pracovního prostoru nebo prostředku.
• Udělte uživatelům následující oprávnění k prostředkům: Microsoft.Insights/logs/*/read.
• Přidejte následující NonAction, aby uživatelé nemohli číst typ SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. NonAction musí být ve stejné vlastní roli jako akce, která poskytuje oprávnění ke čtení (Microsoft.Insights/logs/*/read). Pokud uživatel zdědí akci čtení z jiné role přiřazené k tomuto prostředku nebo k předplatnému nebo skupině prostředků, může číst všechny typy protokolů. Tento scénář platí také, pokud dědí */read, například v roli čtenáře nebo přispěvatele.

Příklad 5: Udělte uživateli oprávnění ke čtení dat protokolu z jeho prostředků, ke všem přihlášením a čtení dat protokolu Microsoft Entra a ke čtení dat protokolu řešení Update Management v pracovním prostoru služby Log Analytics.

• Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění pracovního prostoru nebo prostředku.
• Udělte uživatelům následující oprávnění k pracovnímu prostoru:
  • Microsoft.OperationalInsights/workspaces/read: Vyžaduje se, aby uživatel mohl vytvořit výčet pracovního prostoru a otevřít podokno pracovního prostoru na webu Azure Portal.
  • Microsoft.OperationalInsights/workspaces/query/read: Vyžaduje se pro každého uživatele, který může spouštět dotazy.
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Aby bylo možné číst protokoly přihlašování Microsoft Entra
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Čtení protokolů řešení Update Management
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Čtení protokolů řešení Update Management
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Mít možnost číst protokoly řešení Update Management
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Vyžaduje se, aby bylo možné používat řešení Update Management.
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Vyžaduje se, aby bylo možné používat řešení Update Management.
  • Udělte uživatelům následující oprávnění ke svým prostředkům: */read, přiřazené k roli Čtenář nebo Microsoft.Insights/logs/*/read

Příklad 6: Omezte uživatele v obnovení dat z dlouhodobého uchovávání.

• Nakonfigurujte režim řízení přístupu k pracovnímu prostoru tak, aby používal oprávnění pracovního prostoru nebo prostředku.
• Přiřaďte uživatele k roli Přispěvatel Log Analytics.
• Přidejte následující NonAction, které uživatelům zablokuje obnovení dat z dlouhodobého uchovávání: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Nastavení podrobného řízení přístupu na základě role

Toto je doporučená metoda pro řízení přístupu na úrovni tabulky a řádků. Další informace najdete v tématu Podrobné řízení přístupu na základě role (RBAC) ve službě Azure Monitor.

Nastavení přístupu pro čtení na úrovni tabulky

Granulární řízení přístupu na základě role má všechny funkce přístupu pro čtení na úrovni tabulky. Osvědčeným postupem pro novou konfiguraci řízení přístupu je implementace detailního řízení přístupu na základě role. Pokud chcete odkazovat na metodu, která řídí pouze na úrovni tabulky, přečtěte si téma Správa přístupu pro čtení na úrovni tabulky.

Další kroky

• Informace o shromažďování dat z počítačů v datacentru nebo jiném cloudovém prostředí najdete v přehledu agenta Log Analytics.
• Viz Shromažďování dat o virtuálních počítačích Azure za účelem konfigurace shromažďování dat z virtuálních počítačů Azure.