Log Analytics-munkaterületekhez való hozzáférés kezelése

Azok a tényezők, amelyek meghatározzák, hogy mely adatok érhetők el a Log Analytics-munkaterületeken:

• A munkaterület beállításai.
• A munkaterületre adatokat küldő erőforrások hozzáférési engedélyei.
• A munkaterület eléréséhez használt módszer.

Ez a cikk bemutatja, hogyan kezelheti az adatokhoz való hozzáférést egy Log Analytics-munkaterületen.

Áttekintés

Az elérhető adatokat meghatározó tényezőket az alábbi táblázat ismerteti. Az egyes tényezőket az alábbi szakaszokban ismertetjük.

Szorzó	Leírás
Hozzáférési mód	A munkaterület eléréséhez használt módszer. Meghatározza az elérhető adatok hatókörét és az alkalmazott hozzáférés-vezérlési módot.
Hozzáférés-vezérlési mód	A munkaterület azon beállítása, amely meghatározza, hogy az engedélyek a munkaterület vagy az erőforrás szintjén vannak-e alkalmazva.
Azure-alapú hozzáférés-vezérlés (RBAC)	A munkaterületre vagy erőforrásra vonatkozó, a munkaterületre vagy erőforrásra vonatkozó felhasználókra vagy felhasználók csoportjaira vonatkozó engedélyek. Meghatározza, hogy milyen adatokhoz van hozzáférése.
Táblázatszintű Azure RBAC	Nem kötelező engedélyek, amelyek meghatározott adattípusokat határoznak meg a munkaterületen, amelyhez hozzáférhet. Minden hozzáférési módra vagy hozzáférés-vezérlési módra alkalmazható.

Hozzáférési mód

A hozzáférési mód a Log Analytics-munkaterületek elérésére vonatkozik, és meghatározza az aktuális munkamenet során elérhető adatokat. A mód a Log Analyticsben kiválasztott hatókörnek megfelelően van meghatározva.

Két hozzáférési mód létezik:

• Munkaterület-környezet: Megtekintheti az összes naplót azon a munkaterületen, amelyhez rendelkezik engedéllyel. Az ebben a módban lévő lekérdezések hatóköre a munkaterületen elérhető táblák összes adatára kiterjed. Ez a hozzáférési mód akkor használatos, ha a naplók hatókörként a munkaterületen érhetők el, például amikor a Naplók lehetőséget választja az Azure Portal Azure Monitor menüjében.
• Erőforrás-környezet: Amikor egy adott erőforráshoz, erőforráscsoporthoz vagy előfizetéshez fér hozzá a munkaterülethez, például amikor az Azure Portal egyik erőforrásmenüjében a Naplók lehetőséget választja, csak az összes olyan táblában megtekintheti a naplókat, amelyekhez hozzáféréssel rendelkezik. Az ebben a módban lévő lekérdezések hatóköre csak az adott erőforráshoz társított adatokra terjed ki. Ez a mód részletes Azure RBAC-t is lehetővé tesz. A munkaterületek erőforrás-környezet naplómodellt használnak, ahol az Azure-erőforrás által kibocsátott naplórekordok automatikusan hozzá lesznek rendelve ehhez az erőforráshoz.

A rekordok csak akkor érhetők el erőforrás-környezeti lekérdezésekben, ha az adott erőforráshoz vannak társítva. A társítás ellenőrzéséhez futtasson egy lekérdezést, és ellenőrizze, hogy a _ResourceId oszlop ki van-e töltve.

A következő erőforrásokra vonatkozó ismert korlátozások vannak:

• Az Azure-on kívüli számítógépek: Az erőforrás-környezet csak a kiszolgálókhoz készült Azure Arc esetében támogatott.
• Application Insights: Csak munkaterület-alapú Application Insights-erőforrás használatakor támogatott az erőforrás-környezet.
• Azure Service Fabric

Hozzáférési módok összehasonlítása

Az alábbi táblázat a hozzáférési módokat foglalja össze:

Probléma	Munkaterület-környezet	Erőforrás-környezet
Kinek szánták az egyes modelleket?	Központi adminisztráció. Azok a rendszergazdák, akiknek konfigurálnia kell az adatgyűjtést és a felhasználókat, akiknek hozzáférésre van szükségük az erőforrások széles köréhez. Jelenleg olyan felhasználók számára is szükséges, akiknek az Azure-on kívüli erőforrások naplóihoz kell hozzáférni.	Alkalmazáscsapatok. A figyelt Azure-erőforrások rendszergazdái. Lehetővé teszi számukra, hogy szűrés nélkül összpontosítsanak az erőforrásukra.
Mit igényel a felhasználó a naplók megtekintéséhez?	A munkaterület engedélyei. Lásd a "Munkaterület engedélyei" című témakört a Hozzáférés kezelése munkaterületi engedélyekkel című témakörben.	Olvasási hozzáférés az erőforráshoz. Lásd: "Erőforrás-engedélyek" az Azure-engedélyekkel való hozzáférés kezelése című témakörben. Az engedélyek örökölhetők az erőforráscsoportból vagy az előfizetésből, vagy közvetlenül hozzárendelhetők az erőforráshoz. Az erőforrás naplóihoz való engedély automatikusan hozzá lesz rendelve. A felhasználónak nincs szüksége a munkaterülethez való hozzáférésre.
Mi az engedélyek hatóköre?	Munkaterület. A munkaterülethez hozzáféréssel rendelkező felhasználók lekérdezhetik a munkaterület összes naplóit olyan táblákból, amelyekhez engedéllyel rendelkeznek. Lásd: Táblaszintű olvasási hozzáférés beállítása.	Azure-erőforrás. A felhasználók naplókat kérdezhetnek le adott erőforrásokról, erőforráscsoportokról vagy előfizetésekről, amelyekhez hozzáférésük van bármely munkaterületen, de más erőforrások naplóit nem kérdezhetik le.
Hogyan férhet hozzá egy felhasználó a naplókhoz?	Az Azure Monitor menüben válassza a Naplók lehetőséget. Válassza a Log Analytics-munkaterületek naplóit. Azure Monitor-munkafüzetekből.	Válassza a Naplók lehetőséget az Azure-erőforrás menüjében. A felhasználók hozzáférhetnek az adott erőforrás adataihoz. Válassza a Naplók lehetőséget az Azure Monitor menüben. A felhasználók minden olyan erőforráshoz hozzáférhetnek az adatokhoz, amelyekhez hozzáféréssel rendelkeznek. Válassza a Log Analytics-munkaterületek naplóit, ha a felhasználók hozzáférnek a munkaterülethez. Azure Monitor-munkafüzetekből.

Hozzáférés-vezérlési mód

A hozzáférés-vezérlési mód minden munkaterületen egy beállítás, amely meghatározza a munkaterület engedélyeinek meghatározását.

• Munkaterület-engedélyek megkövetelése. Ez a vezérlési mód nem teszi lehetővé a részletes Azure RBAC használatát. A munkaterület eléréséhez a felhasználónak engedélyt kell adnia a munkaterületre vagy adott táblákra.

  Ha egy felhasználó munkaterület-környezet módban fér hozzá a munkaterülethez, minden olyan táblában hozzáférhet az összes adathoz, amelyhez hozzáférést kapott. Ha egy felhasználó erőforrás-környezet módban fér hozzá a munkaterülethez, az adott erőforráshoz csak az adott táblában lévő adatokhoz fér hozzá, amelyhez hozzáférést kapott.

  Ez a beállítás a 2019 márciusa előtt létrehozott összes munkaterület alapértelmezett beállítása.

• Erőforrás- vagy munkaterület-engedélyek használata. Ez a vezérlési mód részletes Azure RBAC-t tesz lehetővé. A felhasználók csak az Azure-engedély read hozzárendelésével tekinthetik meg az erőforrásokhoz társított adatokat.

  Amikor egy felhasználó munkaterület-környezet módban fér hozzá a munkaterülethez, a munkaterület engedélyei érvényesek. Amikor egy felhasználó erőforrás-környezet módban fér hozzá a munkaterülethez, a rendszer csak az erőforrás-engedélyeket ellenőrzi, a munkaterület engedélyeit pedig figyelmen kívül hagyja. Engedélyezze az Azure RBAC-t a felhasználók számára azáltal, hogy eltávolítja őket a munkaterület engedélyeiből, és lehetővé teszi az erőforrás-engedélyek felismerését.

  Ez a beállítás a 2019. március után létrehozott összes munkaterület alapértelmezett beállítása.

  Feljegyzés

  Ha egy felhasználó csak erőforrás-engedélyekkel rendelkezik a munkaterülethez, akkor csak erőforrás-környezet móddal érheti el a munkaterületet, feltéve, hogy a munkaterület hozzáférési módja erőforrás- vagy munkaterület-engedélyek használatára van beállítva.

Hozzáférés-vezérlési mód konfigurálása munkaterülethez

Azure Portalra

Tekintse meg a munkaterület aktuális hozzáférés-vezérlési módját a Munkaterület Áttekintés lapján a Log Analytics-munkaterület menüjében.

Módosítsa ezt a beállítást a munkaterület Tulajdonságok lapján. Ha nem rendelkezik a munkaterület konfigurálásához szükséges engedélyekkel, a beállítás módosítása le van tiltva.

PowerShell

A következő paranccsal megtekintheti az előfizetés összes munkaterületének hozzáférés-vezérlési módját:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

A kimenetnek a következőhöz kell hasonlítania:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Az érték azt False jelenti, hogy a munkaterület munkaterület-környezet hozzáférési móddal van konfigurálva. Az érték azt True jelenti, hogy a munkaterület erőforrás-környezet hozzáférési móddal van konfigurálva.

Feljegyzés

Ha egy munkaterület logikai érték nélkül jelenik meg, és üres, akkor ez az eredmény egy False érték eredményével is megegyezik.

Az alábbi szkripttel állítsa be egy adott munkaterület hozzáférés-vezérlési módját erőforrás-környezet engedélyre:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

A következő szkripttel állítsa be az előfizetés összes munkaterületének hozzáférés-vezérlési módját erőforrás-környezet engedélyre:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

A hozzáférési mód Azure Resource Manager-sablonban való konfigurálásához állítsa be az enableLogAccessUsingOnlyResourcePermissions funkciójelzőt a munkaterületen az alábbi értékek egyikére:

• hamis: Állítsa a munkaterületet munkaterület-környezet engedélyeinek beállítására. Ez a beállítás az alapértelmezett, ha nincs beállítva a jelölő.
• igaz: Állítsa a munkaterületet erőforrás-környezeti engedélyekre.

Azure RBAC-vel

A munkaterülethez való hozzáférést az Azure RBAC-vel felügyeli. Ha Azure-engedélyekkel szeretne hozzáférést adni a Log Analytics-munkaterülethez, kövesse az Azure-szerepkörök hozzárendelése című szakaszban leírt lépéseket az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez.

Munkaterület engedélyei

Minden munkaterülethez több fiók is társítható. Minden fiók több munkaterülethez is hozzáférhet. Az alábbi táblázat a különböző munkaterületi műveletekHez tartozó Azure-engedélyeket sorolja fel:

Művelet	Azure-engedélyekre van szükség	Jegyzetek
Módosítsa a tarifacsomagot.	Microsoft.OperationalInsights/workspaces/*/write
Hozzon létre egy munkaterületet az Azure Portalon.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Tekintse meg a munkaterület alapvető tulajdonságait, és adja meg a munkaterület panelét a portálon.	Microsoft.OperationalInsights/workspaces/read
Naplók lekérdezése bármilyen felületen.	Microsoft.OperationalInsights/workspaces/query/read
Az összes naplótípus elérése lekérdezésekkel.	Microsoft.OperationalInsights/workspaces/query/*/read
Adott naplótábla elérése – örökölt módszer	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Olvassa el a munkaterület kulcsait, hogy naplókat küldjön erre a munkaterületre.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Összefoglaló szabály létrehozása vagy frissítése	Microsoft.Operationalinsights/workspaces/summarylogs/write
Monitorozási megoldások hozzáadása és eltávolítása.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Az engedélyeknek az erőforráscsoport vagy előfizetés szinteken kell megadva lenniük.
Adatok megtekintése a Biztonsági mentés és a Site Recovery megoldáscsempékben.	Rendszergazda/társadminisztrátor A klasszikus üzemi modellel üzembe helyezett erőforrásokhoz fér hozzá.
Keresési feladat futtatása.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Adatok visszaállítása hosszú távú megőrzésből.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Beépített szerepkörök

Rendeljen felhasználókat ezekhez a szerepkörökhöz, hogy különböző hatókörökben biztosíthassa számukra a hozzáférést:

• Előfizetés: Hozzáférés az előfizetés összes munkaterületéhez
• Erőforráscsoport: Hozzáférés az erőforráscsoport összes munkaterületéhez
• Erőforrás: Hozzáférés csak a megadott munkaterülethez

Hozzárendelések létrehozása erőforrásszinten (munkaterületen) a pontos hozzáférés-vezérlés biztosítása érdekében. Az egyéni szerepkörök segítségével létrehozhat a szükséges egyedi engedélyekkel rendelkező szerepköröket.

Feljegyzés

Ha felhasználókat szeretne hozzáadni és eltávolítani egy felhasználói szerepkörhöz, rendelkeznie kell és Microsoft.Authorization/*/Write engedéllyel kell rendelkeznieMicrosoft.Authorization/*/Delete.

Log Analytics olvasó

A Log Analytics-olvasó szerepkör tagjai megtekinthetik az összes monitorozási adatot és monitorozási beállítást, beleértve az Azure-diagnosztika konfigurálását az összes Azure-erőforráson.

A Log Analytics olvasó szerepkör tagjai a következőket végezhetik el:

• Az összes monitorozási adat megtekintése és keresése.
• A monitorozási beállítások megtekintése, beleértve az Azure Diagnostics konfigurációjának megtekintését az összes Azure-erőforráson.

A Log Analytics-olvasó szerepkör a következő Azure-műveleteket tartalmazza:

Típus	Engedély	Leírás
Művelet	*/read	Az összes Azure-erőforrás és erőforráskonfiguráció megtekintése. Ez a következők megtekintését foglalja magában: - Virtuálisgép-bővítmény állapota. – Azure-diagnosztika konfigurálása erőforrásokon. - Az összes erőforrás összes tulajdonsága és beállítása. Munkaterületek esetén a munkaterület beállításainak és az adatok lekérdezésének teljes korlátozás nélküli olvasását teszi lehetővé. További részletes beállítások az előző listában.
Művelet	Microsoft.Support/*	Támogatási esetek megnyitásának lehetősége.
Nem művelet	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Megakadályozza az adatgyűjtési API használatához és az ügynökök telepítéséhez szükséges munkaterületkulcs beolvasását. Ez megakadályozza, hogy a felhasználó új erőforrásokat adjon hozzá a munkaterülethez.

Log Analytics közreműködő

A Log Analytics közreműködő szerepkör tagjai a következőket végezhetik el:

• Olvassa el a Log Analytics-olvasó szerepkör által biztosított összes monitorozási adatot.
• Az Azure-erőforrások figyelési beállításainak szerkesztése, beleértve a következőket:
  • A virtuálisgép-bővítmény hozzáadása a virtuális gépekhez.
  • Azure-diagnosztika konfigurálása az összes Azure-erőforráson.
• Automation-fiókok létrehozása és konfigurálása. Az engedélyt erőforráscsoport vagy előfizetés szintjén kell megadni.
• Felügyeleti megoldások hozzáadása és eltávolítása. Az engedélyt erőforráscsoport vagy előfizetés szintjén kell megadni.
• Tárfiókkulcsok olvasása.
• Konfigurálja a naplók gyűjteményét az Azure Storage-ból.
• Adatexportálási szabályok konfigurálása.
• Keresési feladat futtatása.
• Adatok visszaállítása hosszú távú megőrzésből.

Figyelmeztetés

Az engedéllyel virtuálisgép-bővítményt adhat hozzá egy virtuális géphez, hogy teljes mértékben átvehesse az irányítást a virtuális gépek felett.

A Log Analytics-közreműködői szerepkör a következő Azure-műveleteket tartalmazza:

Engedély	Leírás
*/read	Az összes Azure-erőforrás és erőforráskonfiguráció megtekintése. Ez a következők megtekintését foglalja magában: - Virtuálisgép-bővítmény állapota. – Azure-diagnosztika konfigurálása erőforrásokon. - Az összes erőforrás összes tulajdonsága és beállítása. Munkaterületek esetén a munkaterület beállításainak és az adatok lekérdezésének teljes korlátozás nélküli olvasását teszi lehetővé. További részletes beállítások az előző listában.
Microsoft.Automation/automationAccounts/*	Azure Automation-fiókok létrehozása és konfigurálása, beleértve a runbookok hozzáadását és szerkesztését.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Virtuálisgép-bővítmények hozzáadása, frissítése és eltávolítása, beleértve a Microsoft Monitoring Agent bővítményt és a Linuxhoz készült OMS-ügynök bővítményt.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	A tárfiókkulcs megtekintése. A Log Analytics konfigurálásához szükséges, hogy naplókat olvasson az Azure Storage-fiókokból.
Microsoft.Insights/alertRules/*	Riasztási szabályok hozzáadása, frissítése és eltávolítása.
Microsoft.Insights/diagnosticSettings/*	Diagnosztikai beállítások hozzáadása, frissítése és eltávolítása az Azure-erőforrásokon.
Microsoft.OperationalInsights/*	A Log Analytics-munkaterületek konfigurációjának hozzáadása, frissítése és eltávolítása. A munkaterület speciális beállításainak szerkesztéséhez a felhasználónak szüksége van rá Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Felügyeleti megoldások hozzáadása és eltávolítása.
Microsoft.Resources/deployments/*	Üzemelő példányok létrehozása és törlése. Megoldások, munkaterületek és automatizálási fiókok hozzáadásához és eltávolításához szükséges.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Üzemelő példányok létrehozása és törlése. Megoldások, munkaterületek és automatizálási fiókok hozzáadásához és eltávolításához szükséges.

Erőforrás-engedélyek

Ha adatokat szeretne olvasni egy munkaterületről, vagy adatokat szeretne küldeni egy munkaterületre az erőforráskörnyezetben, az alábbi engedélyekkel kell rendelkeznie az erőforráson:

Engedély	Leírás
Microsoft.Insights/logs/*/read	Az erőforrás összes naplóadatainak megtekintése
Microsoft.Insights/logs/<tableName>/read Példa: Microsoft.Insights/logs/Heartbeat/read	Az erőforrás adott táblájának megtekintése – örökölt metódus
Microsoft.Insights/diagnosticSettings/write	Diagnosztikai beállítás konfigurálása az erőforrás naplóinak beállításához

Az /read engedélyt általában */olvasási vagy * engedélyekkel rendelkező szerepkörök, például a beépített olvasói és közreműködői szerepkörök adják meg. Előfordulhat, hogy az adott műveleteket vagy dedikált beépített szerepköröket tartalmazó egyéni szerepkörök nem tartalmazzák ezt az engedélyt.

Példák egyéni szerepkörökre

A Log Analytics-munkaterület beépített szerepköreinek használata mellett egyéni szerepköröket is létrehozhat részletesebb engedélyek hozzárendeléséhez. Íme néhány gyakori példa.

1. példa: Felhasználói engedély megadása naplóadatok olvasására az erőforrásaikból.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adjon meg felhasználókat */read vagy Microsoft.Insights/logs/*/read engedélyeket az erőforrásaikhoz. Ha már hozzárendelték hozzájuk a Log Analytics-olvasó szerepkört a munkaterületen, elegendő.

2. példa: Felhasználói engedély megadása a naplóadatok az erőforrásaikból való olvasásához és egy keresési feladat futtatásához.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adjon meg felhasználókat */read vagy Microsoft.Insights/logs/*/read engedélyeket az erőforrásaikhoz. Ha már hozzárendelték hozzájuk a Log Analytics-olvasó szerepkört a munkaterületen, elegendő.
• Adja meg a felhasználóknak a következő engedélyeket a munkaterületen:
  • Microsoft.OperationalInsights/workspaces/tables/write: A keresési eredmények táblájának (_SRCH) létrehozásához szükséges.
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: A keresési feladat végrehajtásának engedélyezéséhez szükséges.

3. példa: Adjon egy felhasználónak engedélyt arra, hogy naplóadatokat olvasson be az erőforrásaiból, és konfigurálja az erőforrásait naplók Log Analytics-munkaterületre való küldéséhez.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adja meg a felhasználóknak a következő engedélyeket a munkaterületen: Microsoft.OperationalInsights/workspaces/read és Microsoft.OperationalInsights/workspaces/sharedKeys/action. Ezekkel az engedélyekkel a felhasználók nem hajthatnak végre munkaterületszintű lekérdezéseket. Csak számba tudják adni a munkaterületet, és célként használhatják diagnosztikai beállításokhoz vagy ügynökkonfigurációhoz.
• Adja meg a felhasználóknak a következő engedélyeket az erőforrásaikhoz: Microsoft.Insights/logs/*/read és Microsoft.Insights/diagnosticSettings/write. Ha már hozzárendelték a Log Analytics-közreműködői szerepkört, hozzárendelték az Olvasó szerepkört, vagy engedélyeket kaptak */read az erőforráshoz, elegendő.

4. példa: Adjon egy felhasználónak engedélyt arra, hogy naplóadatokat olvasson az erőforrásaiból, de ne küldjön naplókat a Log Analytics-munkaterületre, és ne olvassa el a biztonsági eseményeket.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adja meg a felhasználóknak a következő engedélyeket az erőforrásaikhoz: Microsoft.Insights/logs/*/read.
• Adja hozzá a következő NonAction parancsot, hogy megakadályozza a felhasználók számára a SecurityEvent típus olvasását: Microsoft.Insights/logs/SecurityEvent/read. A NonActionnek ugyanabban az egyéni szerepkörben kell lennie, mint az olvasási engedélyt (Microsoft.Insights/logs/*/read) biztosító műveletnek. Ha a felhasználó az olvasási műveletet egy másik, az erőforráshoz vagy az előfizetéshez vagy erőforráscsoporthoz rendelt szerepkörtől örökli, az összes naplótípust elolvashatja. Ez a forgatókönyv akkor is igaz, ha öröklik */read például az Olvasó vagy a Közreműködő szerepkörrel rendelkezőt.

5. példa: Adjon egy felhasználónak engedélyt arra, hogy beolvassa a naplóadatokat az erőforrásaiból, valamint a Microsoft Entra összes bejelentkezési és olvasási Frissítéskezelési megoldás naplóadatait a Log Analytics-munkaterületen.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Adja meg a felhasználóknak a következő engedélyeket a munkaterületen:
  • Microsoft.OperationalInsights/workspaces/read: Kötelező, hogy a felhasználó számba tudja adni a munkaterületet, és meg tudja nyitni a munkaterület panelt az Azure Portalon
  • Microsoft.OperationalInsights/workspaces/query/read: Minden olyan felhasználó számára kötelező, aki képes lekérdezéseket végrehajtani
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: A Microsoft Entra bejelentkezési naplóinak olvasása
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Az Update Management megoldásnaplóinak olvasása
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Az Update Management megoldásnaplóinak olvasása
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Az Update Management naplóinak olvasása
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Az Update Management-megoldások használatához szükséges
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Az Update Management-megoldások használatához szükséges
• A felhasználók számára a következő engedélyeket adhatják meg az erőforrásaikhoz: */readaz Olvasó szerepkörhöz rendelt vagy Microsoft.Insights/logs/*/read

6. példa: A felhasználó korlátozása az adatok hosszú távú megőrzésből való visszaállítására.

• A munkaterület hozzáférés-vezérlési módjának konfigurálása munkaterület- vagy erőforrás-engedélyek használatára.
• Rendelje hozzá a felhasználót a Log Analytics közreműködői szerepköréhez.
• Adja hozzá a következő NonAction műveletet, hogy megakadályozza a felhasználókat az adatok hosszú távú megőrzésből való visszaállításában: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Táblaszintű olvasási hozzáférés beállítása

Lásd: Táblaszintű olvasási hozzáférés kezelése.

Következő lépések

• Tekintse meg a Log Analytics-ügynök áttekintését az adatközpontban vagy más felhőkörnyezetben lévő számítógépekről származó adatok gyűjtéséhez.
• Lásd: Adatgyűjtés az Azure-beli virtuális gépekről az Azure-beli virtuális gépekről történő adatgyűjtés konfigurálásához.