Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche

Die Daten, auf die Sie in einem Log Analytics-Arbeitsbereich zugreifen können, werden durch folgende Faktoren bestimmt:

• Die Einstellungen für den Arbeitsbereich selbst.
• Ihre Zugriffsberechtigungen für Ressourcen, die Daten an den Arbeitsbereich senden
• Die Methode, die für den Zugriff auf den Arbeitsbereich verwendet wird.

In diesem Artikel wird beschrieben, wie Sie den Zugriff auf Daten in einem Log Analytics-Arbeitsbereich verwalten.

Überblick

In der folgenden Tabelle werden die Faktoren beschrieben, die bestimmen, auf welche Daten Sie zugreifen können. Die einzelnen Faktoren werden in den nachfolgenden Abschnitten jeweils ausführlicher beschrieben.

Faktor	BESCHREIBUNG
Zugriffsmodus	Methode, die für den Zugriff auf den Arbeitsbereich verwendet wird. Definiert den Bereich der verfügbaren Daten und den Zugriffssteuerungsmodus, der angewendet wird.
Zugriffssteuerungsmodus	Eine Einstellung für den Arbeitsbereich, die definiert, ob Berechtigungen auf der Arbeitsbereich- oder Ressourcenebene angewendet werden.
Was ist die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Azure-Ressourcen?	Berechtigungen, die auf einzelne Benutzer oder Gruppen von Benutzern für den Arbeitsbereich oder die Ressource angewendet werden, der bzw. die Daten an den Arbeitsbereich sendet. Definiert, auf welche Daten Sie zugreifen können.
Azure RBAC auf Tabellenebene	Optionale Berechtigungen, die bestimmte Datentypen im Arbeitsbereich definieren, auf die Sie zugreifen können. Kann auf alle Zugriffsmodi oder Zugriffssteuerungsmodi angewendet werden.

Zugriffsmodus

Der Zugriffsmodus bezieht sich darauf, wie Sie auf einen Log Analytics-Arbeitsbereich zugreifen, und definiert die Daten, auf die Sie im Rahmen der aktuellen Sitzung zugreifen können. Der Modus wird anhand des Bereichs bestimmt, den Sie in Log Analytics auswählen.

Es gibt zwei Zugriffsmodi:

• Arbeitsbereichskontext: Sie können alle Protokolle in dem Arbeitsbereich anzeigen, für den Sie eine Berechtigung besitzen. Abfragen in diesem Modus beziehen sich auf alle Daten in Tabellen, auf die Sie im Arbeitsbereich Zugriff haben. Dieser Zugriffsmodus wird verwendet, wenn auf Protokolle mit dem Arbeitsbereich als Bereich zugegriffen wird, z. B. wenn Sie Protokolle im Menü Azure Monitor im Azure-Portal auswählen.
• Ressourcenkontext: Wenn Sie auf den Arbeitsbereich für eine bestimmte Ressource, eine Ressourcengruppe oder ein Abonnement zugreifen (etwa, wenn Sie Protokolle aus einem Ressourcenmenü im Azure-Portal auswählen), können Sie Protokolle nur für diese Ressource in allen Tabellen anzeigen, auf die Sie Zugriff besitzen. Abfragen in diesem Modus beziehen sich auf nur Daten, die dieser Ressource zugeordnet sind. Dieser Modus ermöglicht außerdem eine differenzierte rollenbasierte Zugriffssteuerung (RBAC) in Azure. Arbeitsbereiche verwenden ein Ressourcenkontext-Protokollmodell, in dem jeder von einer Azure-Ressource ausgegebene Protokolldatensatz automatisch dieser Ressource zugeordnet wird.

Datensätze sind nur in Ressourcenkontextabfragen verfügbar, wenn sie der relevanten Ressource zugeordnet sind. Um diese Zuordnung zu überprüfen, führen Sie eine Abfrage aus, und überprüfen Sie, ob die _ResourceId-Spalte aufgefüllt ist.

Es gibt bekannte Einschränkungen für folgende Ressourcen:

• Computer außerhalb von Azure: Werden nur über Azure Arc für Server für den Ressourcenkontext unterstützt.
• Application Insights: Wird nur bei Verwendung einer arbeitsbereichsbasierten Application Insights-Ressource für den Ressourcenkontext unterstützt.
• Azure Service Fabric

Vergleichen von Zugriffsmodi

Die Zugriffsmodi werden in der folgenden Tabelle zusammengefasst:

Problem	Arbeitsbereichskontext	Ressourcenkontext
Für wen ist das jeweilige Modell vorgesehen?	Zentraladministration. Administratoren, die die Datensammlung konfigurieren müssen, und Benutzer, die Zugriff auf eine Vielzahl von Ressourcen benötigen. Zurzeit auch erforderlich für Benutzer, die Zugriff auf Protokolle für Ressourcen außerhalb von Azure benötigen.	Anwendungsteams. Administratoren von Azure-Ressourcen, die überwacht werden. Ermöglicht es ihnen, sich auf ihre Ressource zu konzentrieren, ohne filtern zu müssen.
Was ist für einen Benutzer erforderlich, um Protokolle anzuzeigen?	Berechtigungen für den Arbeitsbereich. Informationen finden Sie unter „Arbeitsbereichsberechtigungen“ im Abschnitt Zugriffsverwaltung mithilfe von Arbeitsbereichsberechtigungen.	Lesezugriff auf die Ressource. Informationen finden Sie unter „Ressourcenberechtigungen“ im Abschnitt Zugriffsverwaltung mithilfe von Azure-Berechtigungen. Berechtigungen können von der Ressourcengruppe oder vom Abonnement geerbt oder direkt der Ressource zugewiesen werden. Die Berechtigung für die Protokolle für die Ressource wird automatisch zugewiesen. Der Benutzer benötigt keinen Zugriff auf den Arbeitsbereich.
Welchen Geltungsbereich haben Berechtigungen?	Den Arbeitsbereich. Benutzer mit Zugriff auf den Arbeitsbereich können alle Protokolle in diesem Arbeitsbereich aus Tabellen abfragen, für die sie über Berechtigungen verfügen. Weitere Informationen finden Sie unter Festlegen des Lesezugriffs auf Tabellenebene.	Die Azure-Ressource. Der Benutzer kann Protokolle für bestimmte Ressourcen, Ressourcengruppen oder Abonnements, auf die er Zugriff hat, in einem beliebigen Arbeitsbereich abfragen, aber keine Protokolle für andere Ressourcen.
Wie kann ein Benutzer auf Protokolle zugreifen?	Wählen Sie im Menü Azure Monitor die Option Protokolle aus. Wählen Sie Protokolle unter Log Analytics-Arbeitsbereiche aus. Über Azure Monitor-Arbeitsmappen.	Wählen Sie Protokolle im Menü für die Azure-Ressource aus. Benutzer haben Zugriff auf Daten für diese Ressource. Wählen Sie im Menü Azure Monitor die Option Protokolle aus. Benutzer können auf Daten für alle Ressourcen zugreifen, auf die sie Zugriff haben. Wählen Sie Protokolle aus Log Analytics-Arbeitsbereichen aus, wenn Benutzer Zugriff auf den Arbeitsbereich haben. Über Azure Monitor-Arbeitsmappen.

Zugriffssteuerungsmodus

Der Zugriffssteuerungsmodus ist eine Einstellung für jeden Arbeitsbereich, die definiert, wie Berechtigungen für den Arbeitsbereich bestimmt werden.

• Arbeitsbereichsberechtigungen erforderlich: Dieser Steuerungsmodus ermöglicht keine differenzierte rollenbasierte Zugriffssteuerung (RBAC) in Azure. Damit ein Benutzer auf den Arbeitsbereich zugreifen kann, müssen ihm Berechtigungen für den Arbeitsbereich oder für bestimmte Tabellen gewährt werden.

  Wenn ein Benutzer im Arbeitsbereichskontextmodus auf den Arbeitsbereich zugreift, hat er Zugriff auf alle Daten in allen Tabellen, für die ihm Zugriff gewährt wurde. Wenn ein Benutzer im Ressourcenkontextmodus auf den Arbeitsbereich zugreift, hat er nur Zugriff auf Daten für diese Ressource in Tabellen, für die ihm Zugriff gewährt wurde.

  Dies ist die Standardeinstellung für alle Arbeitsbereiche, die vor März 2019 erstellt wurden.

• Ressourcen- oder Arbeitsbereichsberechtigungen verwenden: Dieser Steuerungsmodus ermöglicht eine differenzierte rollenbasierte Zugriffssteuerung (RBAC) in Azure. Benutzern kann nur Zugriff auf Daten gewährt werden, die den Ressourcen zugeordnet sind, die aufgrund der Zuweisung der Azure-Berechtigung read von den Benutzern angezeigt werden können.

  Wenn ein Benutzer im Arbeitsbereichskontextmodus auf den Arbeitsbereich zugreift, gelten Arbeitsbereichsberechtigungen. Wenn ein Benutzer im Ressourcenkontextmodus auf den Arbeitsbereich zugreift, werden nur die Ressourcenberechtigungen überprüft. Die Arbeitsbereichsberechtigungen werden ignoriert. Aktivieren Sie Azure RBAC für einen Benutzer, indem Sie ihn aus den Arbeitsbereichsberechtigungen entfernen und zulassen, dass seine Ressourcenberechtigungen erkannt werden.

  Dies ist die Standardeinstellung für alle Arbeitsbereiche, die nach März 2019 erstellt werden.

  Hinweis

  Wenn ein Benutzer nur über Ressourcenberechtigungen für den Arbeitsbereich verfügt, kann er nur über den Ressourcenkontextmodus auf den Arbeitsbereich zugreifen, sofern der Arbeitsbereichszugriffsmodus auf das Verwenden von Ressourcen- oder Arbeitsbereichsberechtigungen festgelegt ist.

Konfigurieren des Zugriffssteuerungsmodus für einen Arbeitsbereich

Azure portal

Sehen Sie sich den aktuellen Zugriffssteuerungsmodus für den Arbeitsbereich auf der Seite Übersicht für den Arbeitsbereich im Menü Log Analytics-Arbeitsbereich an.

Ändern Sie diese Einstellung auf der Seite Eigenschaften des Arbeitsbereichs. Wenn Sie keine Berechtigungen zum Konfigurieren des Arbeitsbereichs besitzen, ist das Ändern der Einstellung deaktiviert.

PowerShell

Verwenden Sie den folgenden Befehl, um den Zugriffssteuerungsmodus für alle Arbeitsbereiche im Abonnement anzuzeigen:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

Die Ausgabe sollte wie folgt aussehen:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Der Wert False bedeutet, dass der Arbeitsbereich mit dem Zugriffsmodus Arbeitsbereichskontext konfiguriert ist. Der Wert True bedeutet, dass der Arbeitsbereich mit dem Zugriffsmodus Ressourcenkontext konfiguriert ist.

Hinweis

Wenn ein Arbeitsbereich ohne einen booleschen Wert zurückgegeben wird und leer ist, entspricht dies ebenfalls den Ergebnissen eines False-Werts.

Verwenden Sie das folgende Skript, um den Zugriffssteuerungsmodus für einen bestimmten Arbeitsbereich auf die Berechtigung Ressourcenkontext festzulegen:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Verwenden Sie das folgende Skript, um den Zugriffssteuerungsmodus für alle Arbeitsbereiche im Abonnement auf die Berechtigung Ressourcenkontext festzulegen:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Ressourcen-Manager

Um den Zugriffsmodus in einer Azure Resource Manager-Vorlage zu konfigurieren, legen Sie das Featureflag enableLogAccessUsingOnlyResourcePermissions für den Arbeitsbereich auf einen der folgenden Werte fest:

• false: Legt den Arbeitsbereich auf Berechtigungen vom Typ Arbeitsbereichskontext fest. Dies ist die Standardeinstellung, wenn das Flag nicht festgelegt ist.
• true: Legt den Arbeitsbereich auf Berechtigungen vom Typ Ressourcenkontext fest.

Azure RBAC

Der Zugriff auf einen Arbeitsbereich wird mithilfe von Azure RBAC verwaltet. Führen Sie die Schritte unter Zuweisen von Azure-Rollen zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen aus, um den Zugriff auf den Log Analytics-Arbeitsbereich mit Azure-Berechtigungen zu gewähren.

Arbeitsbereichberechtigungen

Jedem Arbeitsbereich können mehrere Konten zugeordnet werden. Jedes Konto kann Zugriff auf mehrere Arbeitsbereiche haben. In der folgenden Tabelle sind die Azure-Berechtigungen für verschiedene Arbeitsbereichaktionen aufgeführt:

Aktion	Azure-Berechtigungen erforderlich	Hinweise
Ändern des Tarifs.	Microsoft.OperationalInsights/workspaces/*/write
Erstellen eines Arbeitsbereichs im Azure-Portal.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Anzeigen von grundlegenden Arbeitsbereichseigenschaften und Eingeben des Arbeitsbereichs im Portal.	Microsoft.OperationalInsights/workspaces/read
Abfragen von Protokollen mit einer beliebigen Schnittstelle.	Microsoft.OperationalInsights/workspaces/query/read
Zugriff auf alle Protokolltypen mithilfe von Abfragen.	Microsoft.OperationalInsights/workspaces/query/*/read
Zugreifen auf eine bestimmte Protokolltabelle – Legacymethode	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Lesen der Arbeitsbereichsschlüssel, um das Senden von Protokollen an den Arbeitsbereich zuzulassen.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Hinzufügen und Entfernen von Überwachungslösungen.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Diese Berechtigungen müssen auf der Ressourcengruppen- oder Abonnementebene gewährt werden.
Anzeigen von Daten auf den Lösungskacheln Backup und Site Recovery.	Administrator/Co-Administrator Zugriff auf Ressourcen, die mit dem klassischen Bereitstellungsmodell bereitgestellt werden.
Ausführen eines Suchauftrags.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Stellen Sie Daten auch archivierten Tabellen wieder her.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Integrierte Rollen

Weisen Sie Benutzer den folgenden Rollen zu, um ihnen Zugriff auf verschiedenen Ebenen zu gewähren:

• Abonnement: Zugriff auf alle Arbeitsbereiche im Abonnement
• Ressourcengruppe: Zugriff auf alle Arbeitsbereiche in der Ressourcengruppe
• Ressource: Nur Zugriff auf den angegebenen Arbeitsbereich

Erstellen Sie Zuweisungen auf Ressourcenebene (Arbeitsbereich) vornehmen, um eine exakte Zugriffssteuerung zu gewährleisten. Verwenden Sie benutzerdefinierte Rollen, um Rollen mit spezifischen Berechtigungen zu erstellen.

Hinweis

Wenn Sie Benutzer einer Benutzerrolle hinzufügen oder daraus entfernen möchten, müssen Sie über die Berechtigungen Microsoft.Authorization/*/Delete und Microsoft.Authorization/*/Write verfügen.

Log Analytics-Leser

Mitglieder der Rolle „Log Analytics-Leser“ können alle Überwachungsdaten und Überwachungseinstellungen anzeigen – einschließlich der Konfiguration von Azure-Diagnosen für alle Azure-Ressourcen.

Mitglieder der Rolle Log Analytics-Leser können folgende Aktionen ausführen:

• Anzeigen und Durchsuchen aller Überwachungsdaten
• Anzeigen von Überwachungseinstellungen (einschließlich der Konfiguration von Azure-Diagnosen für alle Azure-Ressourcen)

Die Rolle „Log Analytics-Leser“ umfasst die folgenden Azure-Aktionen:

type	Berechtigung	BESCHREIBUNG
Aktion	*/read	Anzeigen aller Azure-Ressourcen und der Ressourcenkonfiguration, einschließlich: – VM-Erweiterungsstatus – Konfiguration von Azure-Diagnosen für Ressourcen - Sämtliche Eigenschaften und Einstellungen aller Ressourcen Für Arbeitsbereiche werden uneingeschränkte Berechtigungen zum Lesen der Arbeitsbereichseinstellungen und zum Abfragen von Daten erteilt. Detailliertere Optionen finden Sie in der vorherigen Liste.
Aktion	Microsoft.Support/*	Möglichkeit zum Öffnen von Supportfällen.
Keine Aktion	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Verhindert das Lesen des Arbeitsbereichsschlüssels, der zum Verwenden der Datensammlungs-API und zum Installieren von Agents erforderlich ist. Dadurch wird verhindert, dass Benutzer dem Arbeitsbereich neue Ressourcen hinzufügen.

Log Analytics-Mitwirkender

Mitglieder der Rolle Log Analytics-Mitwirkender können folgende Aktionen ausführen:

• Lesen aller Überwachungsdaten, die mit der Rolle „Log Analytics-Leser“ gelesen werden können.
• Bearbeiten von Überwachungseinstellungen für Azure-Ressourcen, einschließlich:
  • Hinzufügen der VM-Erweiterung zu virtuellen Computern.
  • Konfigurieren von Azure-Diagnosen für alle Azure-Ressourcen.
• Erstellen und Konfigurieren von Automation-Konten. Die Berechtigung muss auf Ressourcengruppen- oder Abonnementebene erteilt werden.
• Hinzufügen und Entfernen von Verwaltungslösungen. Die Berechtigung muss auf Ressourcengruppen- oder Abonnementebene erteilt werden.
• Lesen von Speicherkontoschlüsseln.
• Konfigurieren der Erfassung von Protokollen aus Azure Storage.
• Konfigurieren von Datenexportregeln.
• Ausführen eines Suchauftrags.
• Wiederherstellen archivierter Protokolle.

Warnung

Sie können die Berechtigung zum Hinzufügen einer VM-Erweiterung zu einem virtuellen Computer nutzen, um die vollständige Kontrolle über einen virtuellen Computer zu erlangen.

Die Rolle „Log Analytics-Mitwirkender“ umfasst die folgenden Azure-Aktionen:

Berechtigung	BESCHREIBUNG
*/read	Anzeigen aller Azure-Ressourcen und der Ressourcenkonfiguration, einschließlich: – VM-Erweiterungsstatus – Konfiguration von Azure-Diagnosen für Ressourcen - Sämtliche Eigenschaften und Einstellungen aller Ressourcen Für Arbeitsbereiche werden uneingeschränkte Berechtigungen zum Lesen der Arbeitsbereichseinstellungen und zum Abfragen von Daten erteilt. Detailliertere Optionen finden Sie in der vorherigen Liste.
Microsoft.Automation/automationAccounts/*	Erstellen und Konfigurieren von Azure Automation-Konten einschließlich Hinzufügen und Bearbeiten von Runbooks.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Hinzufügen, Aktualisieren und Entfernen von VM-Erweiterungen einschließlich Microsoft Monitoring Agent und des OMS-Agent für Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Anzeigen des Speicherkontoschlüssels. Erforderlich, um Log Analytics für das Lesen von Protokollen aus Azure-Speicherkonten zu konfigurieren.
Microsoft.Insights/alertRules/*	Hinzufügen, Aktualisieren und Entfernen von Warnungsregeln.
Microsoft.Insights/diagnosticSettings/*	Hinzufügen, Aktualisieren und Entfernen von Diagnoseeinstellungen für Azure-Ressourcen.
Microsoft.OperationalInsights/*	Hinzufügen, Aktualisieren und Entfernen der Konfiguration für Log Analytics-Arbeitsbereiche. Zum Bearbeiten erweiterter Einstellungen für Arbeitsbereiche benötigt der Benutzer die Berechtigung Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Hinzufügen und Entfernen von Verwaltungslösungen.
Microsoft.Resources/deployments/*	Erstellen und Löschen von Bereitstellungen. Erforderlich für das Hinzufügen und Entfernen von Lösungen, Arbeitsbereichen und Automation-Konten.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Erstellen und Löschen von Bereitstellungen. Erforderlich für das Hinzufügen und Entfernen von Lösungen, Arbeitsbereichen und Automation-Konten.

Ressourcenberechtigungen

Um Daten im Ressourcenkontext aus einem Arbeitsbereich zu lesen oder an einen Arbeitsbereich zu senden, benötigen Sie die folgenden Berechtigungen für die Ressource:

Berechtigung	BESCHREIBUNG
Microsoft.Insights/logs/*/read	Möglichkeit, alle Protokolldaten für die Ressource anzuzeigen.
Microsoft.Insights/logs/<tableName>/read Beispiel: Microsoft.Insights/logs/Heartbeat/read	Möglichkeit zum Anzeigen einer bestimmten Tabelle für diese Ressource – Legacymethode
Microsoft.Insights/diagnosticSettings/write	Die Möglichkeit zum Konfigurieren von Diagnoseeinstellungen, um das Einrichten von Protokollen für diese Ressource zuzulassen.

Die /read-Berechtigung wird in der Regel von einer Rolle erteilt, die */read or*-Berechtigungen enthält, beispielsweise von den integrierten Rollen Leser und Mitwirkender. Benutzerdefinierte Rollen, die bestimmte Aktionen umfassen, oder dedizierte integrierte Rollen enthalten diese Berechtigung möglicherweise nicht.

Beispiele für benutzerdefinierte Rollen

Neben der Verwendung der integrierten Rollen für den Log Analytics-Arbeitsbereich können Sie auch benutzerdefinierte Rollen erstellen, um präzisere Berechtigungen zuzuweisen. Hier sind einige allgemeine Beispiele aufgeführt.

Beispiel 1: Gewähren Sie einem Benutzer die Berechtigung, Protokolldaten seiner Ressourcen zu lesen.

• Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf die Verwendung von Arbeitsbereichs- oder Ressourcenberechtigungen fest.
• Erteilen Sie den Benutzern die Berechtigung */read oder Microsoft.Insights/logs/*/read für ihre Ressourcen. Wenn den Benutzern bereits die Rolle Log Analytics-Leser für den Arbeitsbereich zugewiesen ist, reicht dies aus.

Beispiel 2: Gewähren Sie einem Benutzer die Berechtigung, Protokolldaten seiner Ressourcen zu lesen und einen Suchauftrag auszuführen.

• Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf die Verwendung von Arbeitsbereichs- oder Ressourcenberechtigungen fest.
• Erteilen Sie den Benutzern die Berechtigung */read oder Microsoft.Insights/logs/*/read für ihre Ressourcen. Wenn den Benutzern bereits die Rolle Log Analytics-Leser für den Arbeitsbereich zugewiesen ist, reicht dies aus.
• Erteilen Sie den Benutzern die folgenden Berechtigungen für den Arbeitsbereich:
  • Microsoft.OperationalInsights/workspaces/tables/write: Erforderlich, um die Suchergebnisstabelle (_SRCH) erstellen zu können.
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: Erforderlich, um die Ausführung des Suchauftrags zuzulassen.

Beispiel 3: Gewähren Sie einem Benutzer die Berechtigung, Protokolldaten seiner Ressourcen zu lesen und seine Ressourcen so zu konfigurieren, dass sie Protokolle an den Log Analytics-Arbeitsbereich senden.

• Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf die Verwendung von Arbeitsbereichs- oder Ressourcenberechtigungen fest.
• Erteilen Sie den Benutzern die folgenden Berechtigungen für den Arbeitsbereich: Microsoft.OperationalInsights/workspaces/read und Microsoft.OperationalInsights/workspaces/sharedKeys/action. Mit diesen Berechtigungen können Benutzer keine Abfragen auf Arbeitsbereichsebene ausführen. Sie können den Arbeitsbereich lediglich aufzählen und ihn als Ziel für Diagnoseeinstellungen oder die Agentkonfiguration verwenden.
• Erteilen Sie den Benutzern die folgenden Berechtigungen für ihre Ressourcen: Microsoft.Insights/logs/*/read und Microsoft.Insights/diagnosticSettings/write. Wenn den Benutzern bereits die Rolle Log Analytics-Mitwirkender, die Leserrolle oder */read-Berechtigungen für diese Ressource zugewiesen sind, reicht dies aus.

Beispiel 4: Gewähren Sie einem Benutzer die Berechtigung, Protokolldaten seiner Ressourcen zu lesen, aber nicht die Berechtigung zum Senden von Protokollen an den Log Analytics-Arbeitsbereich, oder Sicherheitsereignisse zu lesen.

• Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf die Verwendung von Arbeitsbereichs- oder Ressourcenberechtigungen fest.
• Erteilen Sie den Benutzern die folgenden Berechtigungen für ihre Ressourcen: Microsoft.Insights/logs/*/read.
• Fügen Sie die folgende NonAction hinzu, um das Lesen des SecurityEvent-Typs durch Benutzer zu blockieren: Microsoft.Insights/logs/SecurityEvent/read. Die NonAction muss sich in der gleichen benutzerdefinierten Rolle wie die Aktion befinden, die die Leseberechtigung bereitstellt (Microsoft.Insights/logs/*/read). Wenn der Benutzer die Leseaktion von einer anderen Rolle erbt, die dieser Ressource, dem Abonnement oder der Ressourcengruppe zugeordnet ist, ist er in der Lage, alle Protokolltypen zu lesen. Dieses Szenario trifft ebenfalls zu, wenn er */read erbt, beispielsweise aus der Rolle „Leser“ oder „Mitwirkender“.

Beispiel 5: Erteilen Sie einem Benutzer die Berechtigung, Protokolldaten seiner Ressourcen, aller Microsoft Entra-Anmeldungen und Protokolldaten der Update Management-Lösung im Log Analytics-Arbeitsbereich zu lesen.

• Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf die Verwendung von Arbeitsbereichs- oder Ressourcenberechtigungen fest.
• Erteilen Sie den Benutzern die folgenden Berechtigungen für den Arbeitsbereich:
  • Microsoft.OperationalInsights/workspaces/read: Erforderlich, damit der Benutzer die Arbeitsbereiche auflisten und den Arbeitsbereich im Azure-Portal öffnen kann.
  • Microsoft.OperationalInsights/workspaces/query/read: Für jeden Benutzer erforderlich, der Abfragen ausführen kann.
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: So können Sie Microsoft Entra-Anmeldeprotokolle lesen
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Damit Protokolle der Updateverwaltungslösung gelesen werden können.
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Damit Protokolle der Updateverwaltungslösung gelesen werden können.
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Damit Protokolle der Updateverwaltung gelesen werden können.
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Erforderlich, damit Updateverwaltungslösungen verwendet werden können.
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Erforderlich, damit Updateverwaltungslösungen verwendet werden können.
• Erteilen Sie den Benutzern die folgenden Berechtigungen für ihre Ressourcen: */read, die der Leserrolle zugewiesen ist, oder Microsoft.Insights/logs/*/read.

Beispiel 6: Untersagen Sie einem Benutzer die Wiederherstellung archivierter Protokolle.

• Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf die Verwendung von Arbeitsbereichs- oder Ressourcenberechtigungen fest.
• Weisen Sie dem Benutzer die Rolle Log Analytics-Mitwirkender zu.
• Fügen Sie die folgende NonAction hinzu, um zu verhindern, dass Benutzer archivierte Protokolle wiederherstellen: Microsoft.OperationalInsights/workspaces/restoreLogs/write.

Festlegen des Lesezugriffs auf Tabellenebene

Mithilfe der Zugriffseinstellungen auf Tabellenebene können Sie bestimmten Benutzer*innen oder Gruppen Leseberechtigung für Daten aus bestimmten Tabellen erteilen. Benutzer*innen mit Lesezugriff auf Tabellenebene können Daten aus den angegebenen Tabellen sowohl im Arbeitsbereich als auch im Ressourcenkontext lesen.

Hinweis

Es wird empfohlen, die hier beschriebene Methode zu verwenden (derzeit in der Vorschauphase), um den Zugriff auf Tabellenebene zu definieren. Alternativ können Sie die Legacymethode zum Festlegen des Lesezugriffs auf Tabellenebene verwenden, die einige Einschränkungen im Zusammenhang mit benutzerdefinierten Protokolltabellen aufweist. Während der Vorschau gilt die hier beschriebene empfohlene Methode nicht für Microsoft Sentinel-Erkennungsregeln, die möglicherweise Zugriff auf mehr Tabellen als vorgesehen haben. Bevor Sie eine der beiden Methoden verwenden, lesen Sie die Informationen unter Überlegungen und Einschränkungen für den Zugriff auf Tabellenebene.

Beim Gewähren des Lesezugriffs auf Tabellenebene werden einem*r Benutzer*in zwei Rollen zugewiesen:

• Auf Arbeitsbereichsebene: eine benutzerdefinierte Rolle, die eingeschränkte Berechtigungen zum Lesen von Arbeitsbereichsdetails und Ausführen einer Abfrage im Arbeitsbereich, aber nicht zum Lesen von Daten aus Tabellen bereitstellt
• Auf Tabellenebene: eine Rolle vom Typ Leser, die auf die jeweilige Tabelle ausgerichtet ist

So erteilen Sie einem Benutzer, einer Benutzerin oder einer Gruppe eingeschränkte Berechtigungen für den Log Analytics-Arbeitsbereich:

1. Erstellen Sie eine benutzerdefinierte Rolle auf Arbeitsbereichsebene, damit Benutzer*innen Arbeitsbereichsdetails lesen und eine Abfrage im Arbeitsbereich ausführen können, ohne Lesezugriff auf Daten in Tabellen zu gewähren:

   1. Navigieren Sie zu Ihrem Arbeitsbereich, und wählen Sie Zugriffssteuerung (IAM)>Rollen aus.

   2. Klicken Sie mit der rechten Maustaste auf die Rolle Leser, und wählen Sie Klonen aus.

      

      Dadurch wird der Bildschirm Benutzerdefinierte Rollen erstellen geöffnet.

   3. Gehen Sie auf der Registerkarte Grundlagen des Bildschirms wie folgt vor:

      1. Geben Sie einen Wert für Name der benutzerdefinierten Rolle und optional eine Beschreibung ein.
      2. Legen Sie Baselineberechtigungen auf Ganz von vorn beginnen fest.

      

   4. Wählen Sie die Registerkarte JSON>Bearbeiten aus:

      1. Fügen Sie im Abschnitt "actions" die folgenden Aktionen hinzu:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. Fügen Sie im Abschnitt "not actions" Folgendes hinzu:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Wählen Sie unten auf dem Bildschirm Speichern>Überprüfen und erstellen und dann auf der nächsten Seite Erstellen aus.

2. Weisen Sie Ihre benutzerdefinierte Rolle den relevanten Benutzer*innen zu:

   1. Wählen Sie Zugriffssteuerung (IAM)>Hinzufügen>Rollenzuweisung hinzufügen aus.

      

   2. Wählen Sie die benutzerdefinierte Rolle aus, die Sie erstellt haben, und wählen Sie Weiter aus.

      

      Dadurch wird die Registerkarte Mitglieder des Bildschirms Benutzerdefinierte Rollenzuweisung hinzufügen geöffnet.

   3. Klicken Sie auf + Mitglieder auswählen, um den Bildschirm Mitglieder auswählen zu öffnen.

      

   4. Suchen Sie nach einem*r Benutzer*in, wählen Sie ihn bzw. sie aus, und klicken Sie auf Auswählen.

   5. Wählen Sie Überprüfen und zuweisen aus.

Der/die Benutzer*in kann jetzt Arbeitsbereichsdetails lesen und eine Abfrage ausführen, aber keine Daten aus Tabellen lesen.

So gewähren Sie dem Benutzer bzw. der Benutzerin Lesezugriff auf eine bestimmte Tabelle:

1. Wählen Sie im Menü Log Analytics-Arbeitsbereiche die Option Tabellen aus.

2. Wählen Sie rechts neben der Tabelle die Auslassungspunkte (...) und dann Zugriffssteuerung (IAM) aus.

   

3. Wählen Sie auf dem Bildschirm Zugriffssteuerung (IAM) die Option Hinzufügen>Rollenzuweisung hinzufügen aus.

4. Wählen Sie die Rolle Leser und dann Weiter aus.

5. Klicken Sie auf + Mitglieder auswählen, um den Bildschirm Mitglieder auswählen zu öffnen.

6. Suchen Sie nach dem*r Benutzer*in, wählen Sie ihn bzw. sie aus, und klicken Sie auf Auswählen.

7. Wählen Sie Überprüfen und zuweisen aus.

Der Benutzer bzw. die Benutzerin kann nun Daten in dieser spezifischen Tabelle lesen. Gewähren Sie dem Benutzer bzw. der Benutzerin bei Bedarf Lesezugriff auf andere Tabellen im Arbeitsbereich.

Legacymethode zum Festlegen des Lesezugriffs auf Tabellenebene

Die Legacymethode für den Zugriff auf Tabellenebene verwendet auch benutzerdefinierte Azure-Rollen, damit Sie bestimmten Benutzern oder Gruppen Zugriff auf bestimmte Tabellen im Arbeitsbereich gewähren können. Benutzerdefinierte Azure-Rollen gelten für Arbeitsbereiche mit dem Zugriffssteuerungsmodus für den Arbeitsbereichskontext oder Ressourcenkontext, und zwar unabhängig vom Zugriffsmodus des Benutzers.

Um den Zugriff auf eine bestimmte Tabelle zu definieren, erstellen Sie eine benutzerdefinierte Rolle:

• Legen Sie die Benutzerberechtigungen im Abschnitt Aktionen der Rollendefinition fest.
• Verwenden Sie Microsoft.OperationalInsights/workspaces/query/*, um Zugriff auf alle Tabellen zu gewähren.
• Um bei Verwendung eines Platzhalters in Aktionen den Zugriff auf bestimmte Tabellen auszuschließen, listen Sie die ausgeschlossenen Tabellen im Abschnitt NotActions der Rollendefinition auf.

Hier finden Sie Beispiele für benutzerdefinierte Rollenaktionen, um Zugriff auf bestimmte Tabellen zu gewähren oder zu verweigern.

Gewähren von Zugriff auf die Tabellen Heartbeat und AzureActivity:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Nur Gewähren von Zugriff auf die Tabelle SecurityBaseline:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Gewähren von Zugriff auf alle Tabellen mit Ausnahme der Tabelle SecurityAlert:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Einschränkungen der Legacymethode im Zusammenhang mit benutzerdefinierten Tabellen

Benutzerdefinierte Protokolle speichern Daten, die Sie aus Datenquellen sammeln. Hierzu zählen etwa Textprotokolle und die HTTP-Datensammler-API. Um den Tabellentyp zu identifizieren, zeigen Sie Tabelleninformationen in Log Analytics an.

Mit der Legacymethode für den Zugriff auf Tabellenebene können Sie keinen Zugriff auf einzelne benutzerdefinierte Protokolltabellen auf Tabellenebenen gewähren. Es ist jedoch möglich, Zugriff auf alle benutzerdefinierten Protokolltabellen zu gewähren. Erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Aktionen, um eine Rolle mit Zugriff auf alle benutzerdefinierten Protokolltabellen zu erstellen:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Überlegungen und Einschränkungen für den Zugriff auf Tabellenebene

• Auf der Log Analytics-Benutzeroberfläche können Benutzer*innen mit Zugriff auf Tabellenebene die Liste aller Tabellen im Arbeitsbereich anzeigen, aber nur Daten aus Tabellen abrufen, auf die sie Zugriff haben.
• Die Standardrollen „Leser“ oder „Mitwirkende“r, die die Aktion */read beinhalten, setzen die Zugriffssteuerung auf Tabellenebene außer Kraft und gewähren Benutzer*innen Zugriff auf alle Protokolldaten.
• Ein*e Benutzer*in mit Zugriff auf Tabellenebene, aber ohne Berechtigungen auf Arbeitsbereichsebene, kann über die API auf Protokolldaten zugreifen, nicht aber über das Azure-Portal.
• Administrator*innen und Eigentümer*innen des Abonnements verfügen über Zugriff auf alle Datentypen, und zwar unabhängig von anderen Berechtigungseinstellungen.
• Besitzer eines Arbeitsbereichs werden wie alle anderen Benutzer bei der Zugriffssteuerung pro Tabelle behandelt.
• Weisen Sie Rollen nicht einzelnen Benutzern, sondern Sicherheitsgruppen zu, um die Anzahl von Zuordnungen zu verringern. Diese Praxis unterstützt Sie auch bei der Verwendung vorhandener Gruppenverwaltungstools zum Konfigurieren und Überprüfen des Zugriffs.

Nächste Schritte

• Informationen zum Erfassen der Daten von Computern in Ihrem Datencenter oder einer anderen Cloudumgebung finden Sie unter Collect log data with the Azure Log Analytics agent (Sammeln von Protokolldaten mit dem Azure Log Analytics-Agent).
• Informationen zum Konfigurieren der Datensammlung von virtuellen Azure-Computern finden Sie unter Sammeln von Daten über virtuelle Azure-Computer.