Log Analytics 작업 영역에 대한 액세스 관리
Log Analytics 작업 영역에서 액세스할 수 있는 데이터를 결정하는 요소는 다음과 같습니다.
- 작업 영역 자체의 설정
- 작업 영역으로 데이터를 보내는 리소스에 대한 액세스 권한
- 작업 영역에 액세스하는 데 사용되는 메서드
이 문서에서는 Log Analytics 작업 영역의 데이터에 대한 액세스를 관리하는 방법을 설명합니다.
개요
액세스할 수 있는 데이터를 정의하는 요소가 다음 표에 설명되어 있습니다. 각 요소는 다음 섹션에 자세히 설명되어 있습니다.
요인 | 설명 |
---|---|
액세스 모드 | 작업 영역에 액세스하는 데 사용되는 메서드 사용 가능한 데이터의 범위와 적용되는 액세스 제어 모드를 정의합니다. |
액세스 제어 모드 | 권한이 작업 영역에서 적용되는지, 아니면 리소스 수준에서 적용되는지 여부를 정의하는 작업 영역에 대한 설정입니다. |
RBAC(역할 기반 액세스 제어) | 작업 영역 또는 작업 영역으로 데이터를 보내는 리소스에 대해 개별 사용자 또는 사용자 그룹에 적용되는 권한입니다. 액세스할 수 있는 데이터를 정의합니다. |
테이블 수준 Azure RBAC | 액세스할 수 있는 작업 영역에서 특정 데이터 형식을 정의하는 선택적 권한입니다. 모든 액세스 모드 또는 액세스 제어 모드에 적용할 수 있습니다. |
액세스 모드
액세스 모드는 Log Analytics 작업 영역에 액세스하는 방법을 나타내며, 현재 세션 동안 액세스할 수 있는 데이터를 정의합니다. 이 모드는 Log Analytics에서 선택한 범위에 따라 결정됩니다.
액세스 모드에는 다음 두 가지가 있습니다.
- 작업 영역 컨텍스트: 권한이 있는 작업 영역에서 모든 로그를 볼 수 있습니다. 이 모드의 쿼리는 작업 영역에서 액세스할 수 있는 테이블의 모든 데이터로 범위가 지정됩니다. 이 액세스 모드는 Azure Portal의 Azure Monitor 메뉴에서 로그를 선택하는 경우와 같이 작업 영역을 범위로 사용하여 로그에 액세스할 때 사용됩니다.
- 리소스 컨텍스트: Azure Portal의 리소스 메뉴에서 로그를 선택하는 경우와 같이 특정 리소스, 리소스 그룹 또는 구독에 대한 작업 영역에 액세스하는 경우 액세스 권한이 있는 모든 테이블의 리소스에 대한 로그만 볼 수 있습니다. 이 모드의 쿼리 범위는 해당 리소스와 연결된 데이터로만 지정됩니다. 또한 이 모드는 세분화된 Azure RBAC를 사용하도록 설정합니다. 작업 영역은 Azure 리소스에서 내보낸 모든 로그 레코드가 이 리소스와 자동으로 연결되는 리소스 컨텍스트 로그 모델을 사용합니다.
레코드는 관련 리소스와 연결된 경우에만 리소스 컨텍스트 쿼리에서 사용할 수 있습니다. 이 연결을 확인하려면 쿼리를 실행하고 _ResourceId 열이 채워져 있는지 확인합니다.
다음 리소스에는 알려진 제한 사항이 있습니다.
- Azure 외부의 컴퓨터: 서버용 Azure Arc에서만 리소스 컨텍스트를 지원합니다.
- Application Insights: 작업 영역 기반 Application Insights 리소스를 사용하는 경우에만 리소스 컨텍스트를 지원합니다.
- Azure Service Fabric
액세스 모드 비교
다음 표에는 액세스 모드가 요약되어 있습니다.
문제 | 작업 영역-컨텍스트 | 리소스-컨텍스트 |
---|---|---|
각 모델의 대상은 누구인가요? | 중앙 관리. 데이터 수집을 구성해야 하는 관리자와 다양한 리소스에 액세스해야 하는 사용자입니다. 또한 현재 Azure 외부의 리소스에 대한 로그에 액세스해야 하는 사용자에게도 필요합니다. |
애플리케이션 팀. 모니터링되는 Azure 리소스의 관리자입니다. 필터링하지 않고 리소스에 집중할 수 있습니다. |
사용자가 로그를 보는 데 필요한 것은 무엇인가요? | 작업 영역에 대한 권한. 작업 영역 권한을 사용하여 액세스 관리의 "작업 영역 권한"을 참조하세요. |
리소스에 대한 읽기 액세스 권한. Azure 권한을 사용하여 액세스 관리의 "리소스 권한"을 참조하세요. 권한은 포함하는 리소스 그룹 또는 구독에서 상속하거나 리소스에 직접 할당될 수 있습니다. 리소스의 로그에 대한 권한이 자동으로 할당됩니다. 사용자는 작업 영역에 액세스할 필요가 없습니다. |
권한의 범위는 어떻게 되나요? | 작업 영역. 작업 영역에 대한 액세스 권한이 있는 사용자는 권한이 있는 테이블에서 작업 영역의 모든 로그를 쿼리할 수 있습니다. 테이블 수준 읽기 권한 설정을 참조하세요. |
Azure 리소스. 사용자는 작업 영역에서 액세스할 수 있는 특정 리소스, 리소스 그룹 또는 구독에 대한 로그를 쿼리할 수 있지만, 다른 리소스에 대한 로그는 쿼리할 수 없습니다. |
사용자가 로그에 액세스하려면 어떻게 해야 하나요? | Azure Monitor 메뉴에서 로그를 선택합니다. Log Analytics 작업 영역에서 로그를 선택합니다. Azure Monitor 통합 문서에서 |
Azure 리소스의 메뉴에서 로그를 선택합니다. 사용자는 해당 리소스의 데이터에 액세스할 수 있습니다. Azure Monitor 메뉴에서 로그를 선택합니다. 사용자는 액세스 권한이 있는 모든 리소스의 데이터에 액세스할 수 있습니다. 사용자가 작업 영역에 액세스할 수 있는 경우 Log Analytics 작업 영역에서 로그를 선택합니다. Azure Monitor 통합 문서에서 |
액세스 제어 모드
액세스 제어 모드는 작업 영역에 대한 권한을 결정하는 방법을 정의하는 각 작업 영역의 설정입니다.
작업 영역 사용 권한 필요. 이 제어 모드는 세분화된 Azure RBAC를 허용하지 않습니다. 작업 영역에 액세스하려면 작업 영역 또는 특정 테이블에 대한 권한을 부여 받아야 합니다.
사용자가 작업 영역 컨텍스트 모드에서 작업 영역에 액세스하는 경우 액세스 권한이 부여된 테이블의 모든 데이터에 액세스할 수 있습니다. 사용자가 리소스 컨텍스트 모드에서 작업 영역에 액세스하는 경우 액세스 권한이 부여된 테이블의 해당 리소스에 대한 데이터에만 액세스할 수 있습니다.
이 설정은 2019년 3월 이전에 만든 모든 작업 영역에 대한 기본 설정입니다.
리소스 또는 작업 영역 사용 권한 사용. 이 제어 모드에서는 보다 세분화된 Azure RBAC를 사용할 수 있습니다. 사용자는 Azure
read
권한을 할당하여 볼 수 있는 리소스와 연결된 데이터에만 액세스할 수 있습니다.사용자가 작업 영역 컨텍스트 모드에서 작업 영역에 액세스하는 경우 작업 영역 권한이 적용됩니다. 사용자가 리소스 컨텍스트 모드에서 작업 영역에 액세스하는 경우 리소스 권한만 확인되고 작업 영역 권한은 무시됩니다. 작업 영역 권한에서 사용자를 제거하고 해당 리소스 권한을 인식할 수 있도록 허용하여 사용자에 대해 Azure RBAC를 사용하도록 설정합니다.
이 설정은 2019년 3월 이후에 만든 모든 작업 영역에 대한 기본 설정입니다.
참고 항목
사용자에게 작업 영역에 대한 리소스 권한만 있는 경우 작업 영역 액세스 모드가 리소스 또는 작업 영역 권한 사용으로 설정되어 있다고 가정하여 리소스 컨텍스트 모드를 사용하여 작업 영역에만 액세스할 수 있습니다.
작업 영역에 대한 액세스 제어 모드 구성
Log Analytics 작업 영역 메뉴의 작업 영역에 대한 개요 페이지에서 현재 작업 영역 액세스 제어 모드를 봅니다.
작업 영역의 속성 페이지에서 이 설정을 변경합니다. 작업 영역을 구성할 수 있는 권한이 없는 경우 설정을 변경할 수 없습니다.
Azure RBAC
작업 영역에 대한 액세스는 Azure RBAC를 사용하여 관리됩니다. Azure 권한을 사용하여 Log Analytics 작업 영역에 대한 액세스를 허용하려면 Azure 역할을 할당하여 Azure 구독 리소스에 대한 액세스 관리에 있는 단계를 따릅니다.
작업 영역 권한
각 작업 영역에는 연결된 여러 계정이 있을 수 있습니다. 각 계정에는 여러 작업 영역에 대한 액세스가 있을 수 있습니다. 다음 표에서는 다양한 작업 영역 작업에 대한 Azure 권한을 나열합니다.
작업 | 필요한 Azure 권한 | 주의 |
---|---|---|
가격 책정 계층 변경 | Microsoft.OperationalInsights/workspaces/*/write |
|
Azure Portal에서 작업 영역 만들기 | Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/* |
|
작업 영역 기본 속성 보기 및 포털에서 작업 영역 창 입력 | Microsoft.OperationalInsights/workspaces/read |
|
인터페이스를 사용하여 로그 쿼리 | Microsoft.OperationalInsights/workspaces/query/read |
|
쿼리를 사용하여 모든 로그 형식 액세스 | Microsoft.OperationalInsights/workspaces/query/*/read |
|
특정 로그 테이블에 액세스 - 레거시 방법 | Microsoft.OperationalInsights/workspaces/query/<table_name>/read |
|
이 작업 영역으로 로그를 보낼 수 있도록 작업 영역 키 읽기 | Microsoft.OperationalInsights/workspaces/sharedKeys/action |
|
요약 규칙 만들기 또는 업데이트 | Microsoft.Operationalinsights/workspaces/summarylogs/write |
|
모니터링 솔루션 추가 및 제거 | Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write 이러한 사용 권한은 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다. |
|
Backup 및 Site Recovery 솔루션 타일에서 데이터 보기 | 관리자/공동 관리자 클래식 배포 모델을 사용하여 배포된 리소스 액세스 |
|
검색 작업을 실행합니다. | Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write |
|
장기 보존에서 데이터를 복원합니다. | Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write |
기본 제공 역할
이러한 역할에 사용자를 할당하여 다양한 범위에서 액세스 권한 부여
- 구독: 구독에서 모든 작업 영역에 대한 액세스
- 리소스 그룹: 리소스 그룹에서 모든 작업 영역에 대한 액세스
- 리소스: 지정된 작업 영역에만 액세스
정확한 액세스 제어를 보장하려면 리소스 수준(작업 영역)에서 할당을 만듭니다. 사용자 지정 역할을 사용하여 필요한 특정 권한이 있는 역할을 만듭니다.
참고 항목
사용자 역할에 사용자를 추가 및 제거하려면 Microsoft.Authorization/*/Delete
및 Microsoft.Authorization/*/Write
권한이 있어야 합니다.
Log Analytics 독자
Log Analytics 읽기 권한자 역할의 멤버는 모든 Azure 리소스에 대한 Azure 진단의 구성을 비롯한 모든 모니터링 데이터 및 모니터링 설정을 볼 수 있습니다.
Log Analytics 읽기 권한자 역할의 멤버는 다음을 수행할 수 있습니다.
- 모든 모니터링 데이터 검색 및 보기
- 모든 Azure 리소스에 대한 Azure 진단 구성 보기를 포함해 모니터링 설정을 봅니다.
Log Analytics 독자 역할에는 다음 Azure 작업이 포함됩니다.
Type | Permission | 설명 |
---|---|---|
작업 | */read |
모든 Azure 리소스 및 리소스 구성 보는 기능. 볼 수 있습니다. - 가상 머신 확장 상태 - 리소스에 대한 Azure 진단 구성 - 모든 리소스의 모든 속성 및 설정 작업 영역의 경우 작업 영역 설정을 읽고 데이터를 쿼리하기 위한 무제한의 모든 권한을 허용합니다. 이전 목록에서 더 세분화된 옵션을 참조하세요. |
작업 | Microsoft.Support/* |
지원 사례를 열 수 있습니다. |
동작 없음 | Microsoft.OperationalInsights/workspaces/sharedKeys/read |
데이터 컬렉션 API를 사용하고 에이전트를 설치하는 데 필요한 작업 영역 키 읽는 것 방지. 사용자가 작업 영역에 새 리소스를 추가하는 것을 방지합니다. |
Log Analytics 참가자
Log Analytics 기여자 역할의 멤버는 다음을 수행할 수 있습니다.
- Log Analytics 읽기 권한자 역할에서 부여한 모든 모니터링 데이터를 읽습니다.
- 다음을 포함한 Azure 리소스의 모니터링 설정을 편집합니다.
- VM에 VM 확장 추가.
- 모든 Azure 리소스에 대한 Azure 진단 구성.
- 자동화 계정 만들기 및 구성. 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다.
- 관리 솔루션 추가 및 제거. 리소스 그룹 또는 구독 수준에서 권한을 부여 받아야 합니다.
- 스토리지 계정 키 읽기
- Azure Storage에서 로그 수집을 구성합니다.
- 데이터 내보내기 규칙을 구성합니다.
- 검색 작업을 실행합니다.
- 장기 보존에서 데이터를 복원합니다.
Warning
가상 머신을 완전히 제어하기 위해 가상 머신으로 가상 머신 확장을 추가할 수 있는 권한을 사용할 수 있습니다.
Log Analytics 기여자 역할에는 다음 Azure 작업이 포함됩니다.
Permission | 설명 |
---|---|
*/read |
모든 Azure 리소스 및 리소스 구성 보는 기능. 볼 수 있습니다. - 가상 머신 확장 상태 - 리소스에 대한 Azure 진단 구성 - 모든 리소스의 모든 속성 및 설정 작업 영역의 경우 작업 영역 설정을 읽고 데이터를 쿼리하기 위한 무제한의 모든 권한을 허용합니다. 이전 목록에서 더 세분화된 옵션을 참조하세요. |
Microsoft.Automation/automationAccounts/* |
Runbook 추가 및 편집을 포함해 Azure Automation 계정을 만들고 구성할 수 있습니다. |
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/* |
Microsoft Monitoring Agent 확장 및 Linux 확장용 OMS Agent를 포함하여 가상 머신 확장을 추가, 업데이트 및 제거합니다. |
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action |
스토리지 계정 키를 봅니다. Azure Storage 계정에서 로그를 읽을 Log Analytics 구성이 필요합니다. |
Microsoft.Insights/alertRules/* |
경고 규칙을 추가, 업데이트 및 제거합니다. |
Microsoft.Insights/diagnosticSettings/* |
Azure 리소스에 대한 진단 설정을 추가, 업데이트 및 제거합니다. |
Microsoft.OperationalInsights/* |
Log Analytics 작업 영역에 대한 구성을 추가, 업데이트 및 제거합니다. 사용자가 작업 영역 고급 설정을 편집하려면 Microsoft.OperationalInsights/workspaces/write 가 필요합니다. |
Microsoft.OperationsManagement/* |
관리 솔루션 추가 및 제거. |
Microsoft.Resources/deployments/* |
디렉터리를 만들고 삭제합니다. 솔루션, 작업 공간 및 자동화 계정 추가 및 제거에 필요합니다. |
Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
디렉터리를 만들고 삭제합니다. 솔루션, 작업 공간 및 자동화 계정 추가 및 제거에 필요합니다. |
리소스 권한
리소스 컨텍스트의 작업 영역에서 데이터를 읽거나 작업 영역으로 데이터를 보내려면 리소스에 대해 다음 권한이 필요합니다.
Permission | 설명 |
---|---|
Microsoft.Insights/logs/*/read |
리소스에 대한 모든 로그 데이터를 볼 수 있습니다. |
Microsoft.Insights/logs/<tableName>/read 예시: Microsoft.Insights/logs/Heartbeat/read |
이 리소스의 특정 테이블을 보는 기능 - 레거시 방법 |
Microsoft.Insights/diagnosticSettings/write |
이 리소스에 대한 로그를 설정할 수 있도록 진단 설정을 구성할 수 있습니다. |
/read
사용 권한은 일반적으로 기본 제공 읽기 권한자 및 기여자 역할과 같은 */read 또는 * 사용 권한을 포함하는 역할에서 부여됩니다. 특정 작업 또는 전용 기본 제공 역할을 포함하는 사용자 지정 역할에는 이 권한이 포함되지 않을 수 있습니다.
사용자 지정 역할 예제
Log Analytics 작업 영역에 기본 제공 역할을 사용하는 것 외에도 사용자 지정 역할을 만들어 보다 세부적인 권한을 할당할 수 있습니다. 다음은 몇 가지 일반적인 예제입니다.
예 1: 리소스에서 로그 데이터를 읽을 수 있는 권한을 사용자에게 부여합니다.
- 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
- 사용자에게 리소스에 대한
*/read
또는Microsoft.Insights/logs/*/read
사용 권한을 부여합니다. 작업 영역에서 Log Analytics Reader 역할이 이미 할당되었다면 충분합니다.
예 2: 리소스에서 로그 데이터를 읽고 검색 작업을 실행할 수 있는 권한을 사용자에게 부여합니다.
- 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
- 사용자에게 리소스에 대한
*/read
또는Microsoft.Insights/logs/*/read
사용 권한을 부여합니다. 작업 영역에서 Log Analytics Reader 역할이 이미 할당되었다면 충분합니다. - 사용자에게 작업 영역에 대한 다음 권한을 부여합니다.
Microsoft.OperationalInsights/workspaces/tables/write
: 검색 결과 테이블(_SRCH)을 만들 수 있어야 합니다.Microsoft.OperationalInsights/workspaces/searchJobs/write
: 검색 작업 실행을 허용하는 데 필요합니다.
예 3: 사용자에게 리소스에서 로그 데이터를 읽을 수 있는 권한을 부여하고 로그를 Log Analytics 작업 영역으로 보내도록 리소스를 구성합니다.
- 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
- 작업 영역에 대하여 사용자에게
Microsoft.OperationalInsights/workspaces/read
과Microsoft.OperationalInsights/workspaces/sharedKeys/action
권한을 부여합니다. 이러한 권한이 있는 사용자는 작업 영역 수준 쿼리를 수행할 수 없습니다. 작업 영역을 열거하고 이를 진단 설정 또는 에이전트 구성의 대상으로만 사용할 수 있습니다. - 리소스에 대하여 사용자에게
Microsoft.Insights/logs/*/read
과Microsoft.Insights/diagnosticSettings/write
권한을 부여합니다. 이미 해당 리소스에 대하여 Log Analytics 기여자 역할을 할당 받거나 Reader 역할을 할당 받거나*/read
권한이 부여되었다면 충분합니다.
예 4: 사용자에게 리소스에서 로그 데이터를 읽을 수 있는 권한을 부여하지만 Log Analytics 작업 영역으로 로그를 보내거나 보안 이벤트를 읽을 수는 없습니다.
- 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
- 사용자에게 리소스에 대한 다음 권한을 부여합니다.
Microsoft.Insights/logs/*/read
- 사용자가 SecurityEvent 형식을 읽을 수 없도록 차단하는 다음과 같은 NonAction을 추가합니다.
Microsoft.Insights/logs/SecurityEvent/read
NonAction은 읽기 권한(Microsoft.Insights/logs/*/read
)을 제공하는 동작과 동일한 사용자 지정 역할에 있어야 합니다. 사용자가 이 리소스 또는 구독 또는 리소스 그룹에 할당된 다른 역할의 읽기 작업을 상속하는 경우 모든 로그 유형을 읽을 수 있습니다. 이 시나리오는 Reader 또는 기여자 등의 역할과 함께 존재하는*/read
를 상속하는 경우에도 마찬가지입니다.
예 5: 리소스 및 모든 Microsoft Entra 로그인에서 로그 데이터를 읽을 수 있는 사용자 권한을 부여하고 Log Analytics 작업 영역에서 업데이트 관리 솔루션 로그 데이터를 읽을 수 있습니다.
- 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
- 사용자에게 작업 영역에 대한 다음 권한을 부여합니다.
Microsoft.OperationalInsights/workspaces/read
: 사용자가 작업 영역을 열거하고 Azure Portal 작업 영역 창을 열 때 필요Microsoft.OperationalInsights/workspaces/query/read
: 쿼리를 실행할 수 있는 모든 사용자에게 필요Microsoft.OperationalInsights/workspaces/query/SigninLogs/read
: Microsoft Entra 로그인 로그를 읽을 수 있습니다.Microsoft.OperationalInsights/workspaces/query/Update/read
: 업데이트 관리 솔루션 로그를 읽을 수 있음Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read
: 업데이트 관리 솔루션 로그를 읽을 수 있음Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read
: 업데이트 관리 로그를 읽을 수 있음Microsoft.OperationalInsights/workspaces/query/Heartbeat/read
: 업데이트 관리 솔루션을 사용하는 데 필요Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read
: 업데이트 관리 솔루션을 사용하는 데 필요
- 사용자에게 리소스에 대한 다음 권한을 부여합니다.
*/read
, Reader 역할에 할당된 또는Microsoft.Insights/logs/*/read
예제 6: 사용자가 장기 보존에서 데이터를 복원하지 못하도록 제한합니다.
- 작업 영역 또는 리소스 권한을 사용하도록 작업 영역 액세스 제어 모드를 구성합니다.
- 사용자를 Log Analytics 기여자 역할에 할당합니다.
- 다음 NonAction을 추가하여 사용자가 장기 보존에서 데이터를 복원하지 못하도록 차단합니다.
Microsoft.OperationalInsights/workspaces/restoreLogs/write
테이블 수준 읽기 권한 설정
테이블 수준 읽기 액세스 관리를 참조하세요.
다음 단계
- 데이터 센터 또는 다른 클라우드 환경의 컴퓨터에서 데이터를 수집하려면 Log Analytics 에이전트 개요를 참조하세요.
- Azure VM에서 데이터 수집을 구성하려면 Azure 가상 머신에 대한 데이터 수집을 참조하세요.