Log Analytics ワークスペースへのアクセスを構成する

完了 100 XP

アクセスできる Log Analytics ワークスペース内のデータは、次の要因の組み合わせによって決まります。

  • ワークスペース自体の設定。
  • ワークスペースにデータを送信するリソースへのアクセス。
  • ワークスペースへのアクセスに使用するメソッド。

アクセス モード

"アクセス モード" は、ユーザーが Log Analytics ワークスペースにアクセスする方法を意味し、現在のセッションでユーザーがアクセスできるデータを定義します。 モードは、Log Analytics で選択する範囲によって決まります。

2 つのアクセス モードがあります

  • ワークスペースコンテキスト: ご自身がアクセス許可を持つワークスペース内のすべてのログを表示できます。 このモードのクエリの範囲は、ワークスペース内でアクセス権を持つすべてのデータです。 このアクセス モードが使用されるのは、Azure portal の [Azure Monitor] メニューで [ログ] を選択する場合など、ワークスペースを範囲としてログにアクセスするときです。 このモードは、データ収集を構成する必要がある管理者と、さまざまなリソースにアクセスする必要があるユーザーに適しています。 ワークスペース コンテキストを使うと、アクセスは Azure ロールベースのアクセス制御 (RBAC) によって管理されます。

  • リソース コンテキスト:Azure portal のリソース メニューで [ログ] を選択する場合など、特定のリソース、リソース グループまたはサブスクリプションに関してワークスペースにアクセスするときは、ご自身がアクセス許可を持っているすべてのテーブル内のそのリソースのログのみを表示できます。 このモードのクエリの範囲は、そのリソースに関連するデータのみです。 このモードでは、きめ細かい Azure RBAC も有効になります。 ワークスペースでは、Azure リソースによって出力されたすべてのログ レコードがこのリソースに自動的に関連付けられるリソースコンテキスト ログ モデルが使用されます。 このモードは、監視されている Azure リソースの管理者に適しています。 これを使うと、フィルター処理を行わずにリソースに集中できます。 リソースコンテキスト クエリでレコードを使用できるのは、関連するリソースにレコードが関連付けられている場合のみです。

現在のワークスペース アクセス制御モードは、[Log Analytics ワークスペース] メニューのワークスペースの [概要] ページで確認できます。

[アクセス制御モード] 設定が強調表示されている Log Analytics ワークスペースの [概要] ページのスクリーンショット。

使用するアクセス制御モードを切り替えるには、Log Analytics ワークスペースの [プロパティ] ページを選び、[リソースまたはワークスペースのアクセス許可を使用] を選んでから、適切なアクセス許可を選びます。

[アクセス制御モード] 設定が強調表示されている Log Analytics ワークスペースの [プロパティ] ページのスクリーンショット。

Log Analytics の RBAC ロール

Log Analytics 関連の組み込み RBAC ロールが 2 つあります。 以下にそれらを示します。

  • Log Analytics 閲覧者
  • Log Analytics 共同作成者

Log Analytics 閲覧者

特定のスコープで Log Analytics 閲覧者ロールを割り当てて、Log Analytics ワークスペースへのアクセスを構成できます。 "Log Analytics 閲覧者" ロールのメンバーは、すべての監視データと、すべての Azure リソース上の Azure Diagnostics 構成を含む監視設定の表示を行うことができます。

"Log Analytics 閲覧者" ロールのメンバーは、以下の操作を行うことができます。

  • すべての監視データを表示および検索します。
  • 監視設定を表示する。これには、すべての Azure リソースに対する Azure Diagnostics の構成の表示などが含まれます。

Log Analytics 共同作成者

"Log Analytics 共同作成者" ロールのメンバーは、以下の操作を行うことができます。

  • "Log Analytics 閲覧者ロール" に許可されたすべての監視データを読み取る。
  • 次のような、Azure リソースの監視設定を編集します。
    • VM への VM 拡張機能の追加。
    • すべての Azure リソースに対する Azure Diagnostics の構成。
  • Automation アカウントを作成および構成する。 アクセス許可は、リソース グループまたはサブスクリプション レベルで付与する必要があります。
  • 管理ソリューションを追加および削除する。 アクセス許可は、リソース グループまたはサブスクリプション レベルで付与する必要があります。
  • ストレージ アカウント キーを読み取ります。
  • Azure Storage からのログの収集を構成します。
  • データ エクスポート規則を構成します。
  • 検索ジョブを実行します。
  • アーカイブされているログを復元します。

Log Analytics の RBAC スコープ

Log Analytics のロールのアクセスは、次のスコープで構成できます。

  • サブスクリプション: サブスクリプション内のすべてのワークスペースへのアクセス
  • リソース グループ: リソース グループ内のすべてのワークスペースへのアクセス
  • リソース: 指定されたワークスペースのみへのアクセス

たとえば、Log Analytics 閲覧者ロールをリソース グループ レベルで割り当てた場合、そのロールを割り当てられたユーザーは、その特定のリソース グループ内のすべての Log Analytics ワークスペースに Log Analytics 閲覧者レベルでアクセスできます。

ワークスペース スコープで Azure RBAC アクセス許可を構成するには、次の手順のようにします。

  1. Azure portal で Log Analytics ワークスペースに移動します。
  2. [アクセス制御 (IAM)] を選択します。
  3. ロールの割り当てを追加する。
  4. [Log Analytics 閲覧者] または [Log Analytics 共同作成者] 選んで、[次へ] をクリックします。
  5. ロールを割り当てるセキュリティ プリンシパルを追加して、[次へ] をクリックします。
  6. [保存] をクリックします。

次のユニット: Log Analytics のデータ保持を構成する

前へ 次へ