Log Analytics-munkaterületekhez való hozzáférés kezelése

Azok a tényezők, amelyek meghatározzák, hogy mely adatok érhetők el a Log Analytics-munkaterületeken:

• A munkaterület beállításai.
• A munkaterületre adatokat küldő erőforrások hozzáférési engedélyei.
• A munkaterület eléréséhez használt módszer.

Ez a cikk bemutatja, hogyan kezelheti az adatokhoz való hozzáférést egy Log Analytics-munkaterületen.

Áttekintés

Az elérhető adatokat meghatározó tényezőket az alábbi táblázat ismerteti. Az egyes tényezőket az alábbi szakaszokban ismertetjük.

Tényező	Leírás
Hozzáférési mód	A munkaterület eléréséhez használt módszer. Meghatározza az elérhető adatok hatókörét és az alkalmazott hozzáférés-vezérlési módot.
Hozzáférés-vezérlési mód	A munkaterület azon beállítása, amely meghatározza, hogy az engedélyek a munkaterület vagy az erőforrás szintjén vannak-e alkalmazva.
Azure szerepkör-alapú hozzáférés-vezérlés (RBAC)	Azokra a felhasználókra vagy felhasználói csoportokra vonatkozó engedélyek, amelyek a munkaterülethez vagy az erőforráshoz adatokat küldenek. Meghatározza, hogy milyen adatokhoz van hozzáférése.
Részletes RBAC	Nem kötelező engedélyek, amelyek feltételek alapján határozzák meg a tábla- és sorszintű hozzáférést. Minden hozzáférési módra vonatkozik, de csak a munkaterület hozzáférés-vezérlési módjával használható.
Táblázatszintű Azure RBAC	Nem kötelező engedélyek, amelyek meghatározott adattípusokat határoznak meg a munkaterületen, amelyhez hozzáférhet. Minden hozzáférési módra vagy hozzáférés-vezérlési módra vonatkozik.

Hozzáférési mód

A hozzáférési mód a Log Analytics-munkaterületek elérésére vonatkozik, és meghatározza az aktuális munkamenet során elérhető adatokat. A mód a Log Analyticsben kiválasztott hatókörnek megfelelően van meghatározva.

Két hozzáférési mód létezik:

• Munkaterület-környezet: Megtekintheti az összes naplót azon a munkaterületen, amelyhez rendelkezik engedéllyel. Az ebben a módban lévő lekérdezések hatóköre a munkaterületen elérhető táblák összes adatára kiterjed. Ez a hozzáférési mód akkor használatos, ha a naplók hatókörként a munkaterületen érhetők el, például amikor a Naplók lehetőséget választja az Azure Portal Azure Monitor menüjében.

• Erőforrás-környezet: Amikor egy adott erőforráshoz, erőforráscsoporthoz vagy előfizetéshez fér hozzá a munkaterülethez, például amikor az Azure Portal egyik erőforrásmenüjében a Naplók lehetőséget választja, csak az összes olyan táblában megtekintheti a naplókat, amelyekhez hozzáféréssel rendelkezik. Az ebben a módban lévő lekérdezések hatóköre csak az adott erőforráshoz társított adatokra terjed ki. Ez a mód részletes Azure RBAC-t is lehetővé tesz. A munkaterületek erőforrás-környezet naplómodellt használnak, ahol az Azure-erőforrás által kibocsátott naplórekordok automatikusan hozzá lesznek rendelve ehhez az erőforráshoz.

A rekordok csak akkor érhetők el erőforrás-környezeti lekérdezésekben, ha az adott erőforráshoz vannak társítva. A társítás ellenőrzéséhez futtasson egy lekérdezést, és ellenőrizze, hogy a _ResourceId oszlop ki van-e töltve.

A következő erőforrásokra vonatkozó ismert korlátozások vannak:

• Az Azure-on kívüli számítógépek: Az erőforrás-környezet csak a kiszolgálókhoz készült Azure Arc esetében támogatott.
• Application Insights: Az erőforrás-környezet csak akkor támogatott, ha egy munkaterület-alapú Application Insights-erőforrást használ.
• Azure Service Fabric

Hozzáférési módok összehasonlítása

Az alábbi táblázat a hozzáférési módokat foglalja össze:

Probléma	Munkaterület-környezet	Erőforrás-környezet
Kinek szánták az egyes modelleket?	Központi adminisztráció. Azok a rendszergazdák, akiknek konfigurálnia kell az adatgyűjtést és a felhasználókat, akiknek hozzáférésre van szükségük az erőforrások széles köréhez. Jelenleg olyan felhasználók számára is szükséges, akiknek az Azure-on kívüli erőforrások naplóihoz kell hozzáférni.	Alkalmazáscsapatok. A figyelt Azure-erőforrások rendszergazdái. Lehetővé teszi számukra, hogy szűrés nélkül összpontosítsanak az erőforrásukra.
Mit igényel a felhasználó a naplók megtekintéséhez?	A munkaterület engedélyei. Lásd a "Munkaterület engedélyei" című témakört a Hozzáférés kezelése munkaterületi engedélyekkel című témakörben.	Olvasási hozzáférés az erőforráshoz. Lásd: "Erőforrás-engedélyek" az Azure-engedélyekkel való hozzáférés kezelése című témakörben. Az engedélyek örökölhetők az erőforráscsoportból vagy az előfizetésből, vagy közvetlenül hozzárendelhetők az erőforráshoz. Az erőforrás naplóihoz szükséges engedélyek automatikusan megadásra kerülnek. A felhasználónak nincs szüksége a munkaterülethez való hozzáférésre.
Mi az engedélyek hatóköre?	Munkaterület. A munkaterülethez hozzáféréssel rendelkező felhasználók lekérdezhetik a munkaterület összes naplóit olyan táblákból, amelyekhez engedéllyel rendelkeznek. Lásd: Táblaszintű olvasási hozzáférés beállítása.	Azure-erőforrás. A felhasználók naplókat kérdezhetnek le adott erőforrásokról, erőforráscsoportokról vagy előfizetésekről, amelyekhez hozzáférésük van bármely munkaterületen, de más erőforrások naplóit nem kérdezhetik le.
Hogyan férhet hozzá egy felhasználó a naplókhoz?	Az Azure Monitor menüben válassza a Naplók lehetőséget. Válassza a Naplók lehetőséget a Log Analytics-munkaterületekből. Az Azure Monitor munkafüzetekből, amikor a Log Analytics-munkaterületet választják ki erőforrástípusnak.	Válassza a Naplók lehetőséget az Azure-erőforrás menüjében. A felhasználók hozzáférhetnek az adott erőforrás adataihoz. Válassza a Naplók lehetőséget az Azure Monitor menüben. A felhasználók minden olyan erőforráshoz hozzáférhetnek az adatokhoz, amelyekhez hozzáféréssel rendelkeznek. Válassza a Log Analytics-munkaterületek naplóit, ha a felhasználók hozzáférnek a munkaterülethez. Az Azure Monitor-munkafüzetekből , ha az erőforrás ki van választva az erőforrástípushoz.

Hozzáférés-vezérlési mód

A hozzáférés-vezérlési mód minden munkaterületen egy beállítás, amely meghatározza a munkaterület engedélyeinek meghatározását.

• Munkaterület-engedélyek megkövetelése. Ez a vezérlési mód nem teszi lehetővé a részletes Azure RBAC használatát. A munkaterület eléréséhez a felhasználónak engedélyt kell adnia a munkaterületre vagy adott táblákra.

  Ha egy felhasználó munkaterület-környezet módban fér hozzá a munkaterülethez, minden olyan táblában hozzáférhet az összes adathoz, amelyhez hozzáférést kapott. Ha egy felhasználó erőforrás-környezet módban fér hozzá a munkaterülethez, az adott erőforráshoz csak az adott táblában lévő adatokhoz fér hozzá, amelyhez hozzáférést kapott.

  Ez a beállítás a 2019 márciusa előtt létrehozott összes munkaterület alapértelmezett beállítása.

• Erőforrás- vagy munkaterület-engedélyek használata. Ez a vezérlési mód részletes Azure RBAC-t tesz lehetővé. A felhasználók csak az Azure-engedély read hozzárendelésével tekinthetik meg az erőforrásokhoz társított adatokat.

  Amikor egy felhasználó munkaterület-környezet módban fér hozzá a munkaterülethez, a munkaterület engedélyei érvényesek. Amikor egy felhasználó erőforrás-környezet módban fér hozzá a munkaterülethez, a rendszer csak az erőforrás-engedélyeket ellenőrzi, a munkaterület engedélyeit pedig figyelmen kívül hagyja. Engedélyezze az Azure RBAC-t a felhasználók számára azáltal, hogy eltávolítja őket a munkaterület engedélyeiből, és lehetővé teszi az erőforrás-engedélyek felismerését.

  Ez a beállítás a 2019. március után létrehozott összes munkaterület alapértelmezett beállítása.

  Feljegyzés

  Ha egy felhasználó csak erőforrás-engedélyekkel rendelkezik a munkaterülethez, akkor csak erőforrás-környezet móddal érheti el a munkaterületet, feltéve, hogy a munkaterület hozzáférési módja erőforrás- vagy munkaterület-engedélyek használatára van beállítva.

Hozzáférés-vezérlési mód konfigurálása munkaterülethez

Azure Portál

Tekintse meg a munkaterület aktuális hozzáférés-vezérlési módját a Munkaterület Áttekintés lapján a Log Analytics-munkaterület menüjében.

Módosítsa ezt a beállítást a munkaterület Tulajdonságok lapján. Ha nem rendelkezik a munkaterület konfigurálásához szükséges engedélyekkel, a beállítás módosítása le van tiltva.

PowerShell

A következő paranccsal megtekintheti az előfizetés összes munkaterületének hozzáférés-vezérlési módját:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

A kimenetnek a következőhöz kell hasonlítania:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Az érték azt False jelenti, hogy a munkaterület munkaterület-környezet hozzáférési móddal van konfigurálva. Az érték azt True jelenti, hogy a munkaterület erőforrás-környezet hozzáférési móddal van konfigurálva.

Feljegyzés

Ha egy munkaterület logikai érték nélkül jelenik meg, és üres, akkor ez az eredmény egy False érték eredményével is megegyezik.

Az alábbi szkripttel állítsa be egy adott munkaterület hozzáférés-vezérlési módját erőforrás-környezet engedélyre:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

A következő szkripttel állítsa be az előfizetés összes munkaterületének hozzáférés-vezérlési módját erőforrás-környezet engedélyre:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

A hozzáférési mód Azure Resource Manager-sablonban való konfigurálásához állítsa be az enableLogAccessUsingOnlyResourcePermissions funkciójelzőt a munkaterületen az alábbi értékek egyikére:

• hamis: A munkaterületet állítsa munkaterület-környezet engedélyekre. Ez a beállítás az alapértelmezett, ha nincs beállítva a jelölő.
• igaz: Állítsa a munkaterületet erőforrás-környezeti engedélyekre.

Azure RBAC

A munkaterülethez való hozzáférést az Azure RBAC-vel felügyeli. Ha Azure-engedélyekkel szeretne hozzáférést adni a Log Analytics-munkaterülethez, kövesse az Azure-szerepkörök hozzárendelése című szakaszban leírt lépéseket az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez.

Munkaterület engedélyei

Minden munkaterülethez több fiók is társítható. Minden fiók több munkaterülethez is hozzáférhet. Az alábbi táblázat a különböző munkaterületi műveletekHez tartozó Azure-engedélyeket sorolja fel:

Művelet	Azure-engedélyekre van szükség	Jegyzetek
Módosítsa az árazási szintet.	Microsoft.OperationalInsights/workspaces/*/write
Hozzon létre egy munkaterületet az Azure Portalon.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Tekintse meg a munkaterület alapvető tulajdonságait, és adja meg a munkaterület panelét a portálon.	Microsoft.OperationalInsights/workspaces/read
Naplók lekérdezése bármilyen felületen.	Microsoft.OperationalInsights/workspaces/query/read
Az összes naplótípus elérése lekérdezésekkel.	Microsoft.OperationalInsights/workspaces/query/*/read
Adott naplótábla elérése – örökölt módszer	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
A munkaterület kulcsainak megtekintése lehetővé teszi, hogy naplókat küldjön erre a munkaterületre.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Összefoglaló szabály létrehozása vagy frissítése	Microsoft.Operationalinsights/workspaces/summarylogs/write
Monitorozási megoldások hozzáadása és eltávolítása.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Az engedélyeknek az erőforráscsoport vagy előfizetés szinteken kell megadva lenniük.
Adatok megtekintése a Biztonsági mentés és a Site Recovery megoldáscsempékben.	Rendszergazda/társadminisztrátor A klasszikus üzemi modellel üzembe helyezett erőforrásokhoz fér hozzá.
Keresési feladat futtatása.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Adatok visszaállítása hosszú távú megőrzésből.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write
Összegzési szabály létrehozása vagy szerkesztése	Microsoft.Operationalinsights/workspaces/summarylogs/write

Beépített szerepkörök

Rendeljen felhasználókat ezekhez a szerepkörökhöz, hogy különböző hatókörökben biztosíthassa számukra a hozzáférést:

• Előfizetés: Hozzáférés az előfizetés összes munkaterületéhez
• Erőforráscsoport: Hozzáférés az erőforráscsoport összes munkaterületéhez
• Erőforrás: Hozzáférés csak a megadott munkaterülethez

Hozzárendelések létrehozása erőforrásszinten (munkaterületen) a pontos hozzáférés-vezérlés biztosítása érdekében. Az egyéni szerepkörök segítségével létrehozhat a szükséges egyedi engedélyekkel rendelkező szerepköröket.

Feljegyzés

Ha felhasználókat szeretne hozzáadni és eltávolítani egy felhasználói szerepkörhöz, rendelkeznie kell Microsoft.Authorization/*/Delete és Microsoft.Authorization/*/Write engedéllyel.

Log Analytics-adatolvasó

Adja meg a lekérdezések futtatásához szükséges minimális engedélyeket, és tekintse meg a metaadatokat a Log Analytics Adatolvasó szerepkörrel. Ideális szerep a részletes RBAC-hez, amely szerepkör-hozzárendelési feltételekkel szabályozza az adatokhoz való hozzáférést a táblázat és a sor szintjén. További információ: granuláris RBAC.

Típus	Engedély	Leírás
Művelet	Microsoft.OperationalInsights/workspaces/query/read	Lekérdezések futtatása egy munkaterület adatain
Művelet	Microsoft.OperationalInsights/workspaces/read	Meglévő munkaterületek megnyitása
DataActions	Microsoft.OperationalInsights/workspaces/tables/data/read	Olvasási adathozzáférés a munkaterületekhez vagy finomabban részletezett adatentitásokhoz, például adott táblákhoz vagy sorokhoz a gránuláris RBAC használatával.

Log Analytics olvasó

A Log Analytics-olvasó szerepkör tagjai megtekinthetik az összes monitorozási adatot és monitorozási beállítást, beleértve az Azure-diagnosztika konfigurálását az összes Azure-erőforráson. A tagok megtekinthetik a hozzárendelt hatókörben lévő erőforrások összes adatát, beleértve a következőket:

• Az összes monitorozási adat megtekintése és keresése.
• A monitorozási beállítások megtekintése, beleértve az Azure Diagnostics konfigurációjának megtekintését az összes Azure-erőforráson.

A Log Analytics-olvasó szerepkör a következő Azure-műveleteket tartalmazza:

Típus	Engedély	Leírás
Művelet	*/read	Az összes Azure-erőforrás és erőforráskonfiguráció megtekintése. Ez a következők megtekintését foglalja magában: - Virtuálisgép-bővítmény állapota. – Azure-diagnosztika konfigurálása erőforrásokon. - Az összes erőforrás összes tulajdonsága és beállítása. Munkaterületek esetén a munkaterület beállításainak és az adatok lekérdezésének teljes korlátozás nélküli olvasását teszi lehetővé. További részletes beállítások az előző listában.
Művelet	Microsoft.Support/*	Támogatási esetek megnyitásának lehetősége.
Nem cselekvés	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Megakadályozza az adatgyűjtési API használatához és az ügynökök telepítéséhez szükséges munkaterületkulcs beolvasását. Ez megakadályozza, hogy a felhasználó új erőforrásokat adjon hozzá a munkaterülethez.

Log Analytics közreműködő

A Log Analytics közreműködő szerepkör tagjai a következőket végezhetik el:

• Olvassa el a Log Analytics-olvasó szerepkör által biztosított összes monitorozási adatot.
• Az Azure-erőforrások figyelési beállításainak szerkesztése, beleértve a következőket:
  • A virtuálisgép-bővítmény hozzáadása a virtuális gépekhez.
  • Azure-diagnosztika konfigurálása az összes Azure-erőforráson.
• Automation-fiókok létrehozása és konfigurálása. Az engedélyt erőforráscsoport vagy előfizetés szintjén kell megadni.
• Felügyeleti megoldások hozzáadása és eltávolítása. Az engedélyt erőforráscsoport vagy előfizetés szintjén kell megadni.
• A tárolási fiók kulcsok olvasása.
• Konfigurálja a naplók gyűjteményét az Azure Storage-ból.
• Adatexportálási szabályok konfigurálása.
• Keresési feladat futtatása.
• Adatok visszaállítása hosszú távú megőrzésből.

Figyelmeztetés

Az engedéllyel virtuálisgép-bővítményt adhat hozzá egy virtuális géphez, hogy teljes mértékben átvehesse az irányítást a virtuális gépek felett.

A Log Analytics-közreműködői szerepkör a következő Azure-műveleteket tartalmazza:

Engedély	Leírás
*/read	Az összes Azure-erőforrás és erőforráskonfiguráció megtekintése. Ez a következők megtekintését foglalja magában: - Virtuálisgép-bővítmény állapota. – Azure-diagnosztika konfigurálása erőforrásokon. - Az összes erőforrás összes tulajdonsága és beállítása. Munkaterületek esetén a munkaterület beállításainak és az adatok lekérdezésének teljes korlátozás nélküli olvasását teszi lehetővé. További részletes beállítások az előző listában.
Microsoft.Automation/automationAccounts/*	Azure Automation-fiókok létrehozása és konfigurálása, beleértve a runbookok hozzáadását és szerkesztését.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Virtuálisgép-bővítmények hozzáadása, frissítése és eltávolítása, beleértve az örökölt ügynököket is.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	A tárfiókkulcs megtekintése. A Log Analytics konfigurálásához szükséges, hogy naplókat olvasson az Azure Storage-fiókokból.
Microsoft.Insights/alertRules/*	Riasztási szabályok hozzáadása, frissítése és eltávolítása.
Microsoft.Insights/diagnosticSettings/*	Diagnosztikai beállítások hozzáadása, frissítése és eltávolítása az Azure-erőforrásokon.
Microsoft.OperationalInsights/*	A Log Analytics-munkaterületek konfigurációjának hozzáadása, frissítése és eltávolítása. A munkaterület speciális beállításainak szerkesztéséhez a felhasználónak szüksége van rá Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Felügyeleti megoldások hozzáadása és eltávolítása.
Microsoft.Resources/deployments/*	Telepítések létrehozása és törlése. Megoldások, munkaterületek és automatizálási fiókok hozzáadásához és eltávolításához szükséges.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Telepítések létrehozása és törlése. Megoldások, munkaterületek és automatizálási fiókok hozzáadásához és eltávolításához szükséges.

Erőforrás-engedélyek

Ha adatokat szeretne olvasni egy munkaterületről, vagy adatokat szeretne küldeni egy munkaterületre az erőforráskörnyezetben, az alábbi engedélyekkel kell rendelkeznie az erőforráson:

Engedély	Leírás
Microsoft.Insights/logs/*/read	Az erőforrás összes naplóadatainak megtekintése
Microsoft.Insights/logs/<tableName>/read Példa: Microsoft.Insights/logs/Heartbeat/read	Az erőforrás adott táblájának megtekintése – örökölt metódus
Microsoft.Insights/diagnosticSettings/write	Az erőforrás diagnosztikai beállításainak konfigurálásának lehetősége és naplók létrehozása

Az /read engedélyt általában olyan szerepkörök adják meg, amelyek tartalmazzák a */olvasási vagy * engedélyeket, például a beépített Olvasó és Hozzájáruló szerepkörök. Előfordulhat, hogy az adott műveleteket vagy dedikált beépített szerepköröket tartalmazó egyéni szerepkörök nem tartalmazzák ezt az engedélyt.

Példák egyéni szerepkörökre

A Log Analytics-munkaterület beépített szerepköreinek használata mellett egyéni szerepköröket is létrehozhat részletesebb engedélyek hozzárendeléséhez. Íme néhány gyakori példa.

1. példa: Felhasználói engedély megadása naplóadatok olvasására az erőforrásaikból.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adjon hozzáférést a felhasználóknak */read vagy Microsoft.Insights/logs/*/read engedéllyel az erőforrásaikhoz. Ha már hozzárendelték őket a Log Analytics Reader szerepkörbe a munkaterületen, az elegendő.

2. példa: Felhasználói engedély megadása a naplóadatok az erőforrásaikból való olvasásához és egy keresési feladat futtatásához.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adjon hozzáférést a felhasználóknak */read vagy Microsoft.Insights/logs/*/read engedéllyel az erőforrásaikhoz. Ha már hozzárendelték őket a Log Analytics Reader szerepkörbe a munkaterületen, az elegendő.
• Adja meg a felhasználóknak a következő engedélyeket a munkaterületen:
  • Microsoft.OperationalInsights/workspaces/tables/write: A keresési eredmények táblájának (_SRCH) létrehozásához szükséges.
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: A keresési feladat végrehajtásának engedélyezéséhez szükséges.

3. példa: Adjon egy felhasználónak engedélyt arra, hogy naplóadatokat olvasson be az erőforrásaiból, és konfigurálja az erőforrásait naplók Log Analytics-munkaterületre való küldéséhez.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adja meg a felhasználóknak a következő engedélyeket a munkaterületen: Microsoft.OperationalInsights/workspaces/read és Microsoft.OperationalInsights/workspaces/sharedKeys/action. Ezekkel az engedélyekkel a felhasználók nem hajthatnak végre munkaterületszintű lekérdezéseket. Csak számba tudják adni a munkaterületet, és célként használhatják diagnosztikai beállításokhoz vagy ügynökkonfigurációhoz.
• Adja meg a felhasználóknak a következő engedélyeket az erőforrásaikhoz: Microsoft.Insights/logs/*/read és Microsoft.Insights/diagnosticSettings/write. Ha már hozzárendelték a Log Analytics-közreműködői szerepkört, hozzárendelték az Olvasó szerepkört, vagy engedélyeket kaptak */read az erőforráshoz, elegendő.

4. példa: Adjon egy felhasználónak engedélyt arra, hogy naplóadatokat olvasson az erőforrásaiból, de ne küldjön naplókat a Log Analytics-munkaterületre, és ne olvassa el a biztonsági eseményeket.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adja meg a felhasználóknak a következő engedélyeket az erőforrásaikhoz: Microsoft.Insights/logs/*/read.
• Adja hozzá a következő NonAction parancsot, hogy megakadályozza a felhasználók számára a SecurityEvent típus olvasását: Microsoft.Insights/logs/SecurityEvent/read. A NonActionnek ugyanabban az egyéni szerepkörben kell lennie, mint az olvasási engedélyt (Microsoft.Insights/logs/*/read) biztosító műveletnek. Ha a felhasználó az olvasási műveletet egy másik, az erőforráshoz vagy az előfizetéshez vagy erőforráscsoporthoz rendelt szerepkörtől örökli, az összes naplótípust elolvashatja. Ez a forgatókönyv akkor is igaz, ha öröklik */read, amely például már létezik az Olvasó vagy a Közreműködő szerepkör esetén.

5. példa: Adjon egy felhasználónak engedélyt arra, hogy beolvassa a naplóadatokat az erőforrásaiból, valamint a Microsoft Entra összes bejelentkezési és olvasási Frissítéskezelési megoldás naplóadatait a Log Analytics-munkaterületen.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adja meg a felhasználóknak a következő engedélyeket a munkaterületen:
  • Microsoft.OperationalInsights/workspaces/read: Kötelező, hogy a felhasználó számba tudja adni a munkaterületet, és meg tudja nyitni a munkaterület panelt az Azure Portalon
  • Microsoft.OperationalInsights/workspaces/query/read: Minden olyan felhasználó számára kötelező, aki képes lekérdezéseket végrehajtani
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: A Microsoft Entra bejelentkezési naplóinak olvasása
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Annak érdekében, hogy az Update Management megoldás naplóit el tudja olvasni
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Annak érdekében, hogy az Update Management megoldás naplóit el tudja olvasni
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Az Update Management naplóinak olvasása
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Az Update Management-megoldások használatához szükséges
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Az Update Management-megoldások használatához szükséges
  • A felhasználók számára a következő engedélyeket adhatja meg az erőforrásaikhoz: */read, amely az Olvasó szerepkörhöz van rendelve, vagy Microsoft.Insights/logs/*/read.

6. példa: A felhasználó korlátozása az adatok hosszú távú megőrzésből való visszaállítására.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Rendelje hozzá a felhasználót a Log Analytics közreműködői szerepköréhez.
• Adja hozzá a következő NonAction műveletet, hogy megakadályozza a felhasználókat az adatok hosszú távú megőrzésből való visszaállításában: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Részletes RBAC beállítása

Ez a táblázat- és sorszintű hozzáférés-vezérlés ajánlott módszere. További információ: Részletes szerepköralapú hozzáférés-vezérlés (RBAC) az Azure Monitorban.

Táblaszintű olvasási hozzáférés beállítása

A finomhangolt RBAC a táblaszintű olvasási hozzáférés összes funkcióját tartalmazza. Az új hozzáférés-vezérlési konfiguráció ajánlott eljárása a részletes RBAC implementálása. A táblázatszintű olvasási hozzáférés kezelése című cikkben hivatkozhat arra a metódusra, amely csak táblázatszintű vezérlést végez.

Következő lépések

• Tekintse meg a Log Analytics-ügynök áttekintését az adatközpontban vagy más felhőkörnyezetben lévő számítógépekről származó adatok gyűjtéséhez.
• Lásd: Adatgyűjtés az Azure-beli virtuális gépekről az adatgyűjtés konfigurálásához.