Toegang tot Log Analytics-werkruimten beheren

De gegevens in een Log Analytics-werkruimte waartoe u toegang hebt, worden bepaald door een combinatie van de volgende factoren:

• De instellingen in de werkruimte zelf.
• De toegang tot resources die gegevens naar de werkruimte verzenden.
• De methode die wordt gebruikt voor toegang tot de werkruimte.

In dit artikel wordt beschreven hoe toegang wordt beheerd en hoe u een vereiste configuratie uitvoert.

Overzicht

De factoren die de gegevens definiëren waartoe u toegang hebt, worden beschreven in de volgende tabel. Elke factor wordt verder beschreven in de volgende secties.

Factor	Description
Toegangsmodus	Methode die wordt gebruikt voor toegang tot de werkruimte. Definieert het bereik van de beschikbare gegevens en de toegangsbeheermodus die wordt toegepast.
Toegangsbeheermodus	Instelling voor de werkruimte waarmee wordt gedefinieerd of machtigingen worden toegepast op het niveau van de werkruimte of resource.
Toegangsbeheer op basis van rollen in Azure (RBAC)	Machtigingen die zijn toegepast op personen of groepen gebruikers voor de werkruimte of resource die gegevens naar de werkruimte verzendt. Definieert tot welke gegevens u toegang hebt.
Azure RBAC op tabelniveau	Optionele machtigingen die specifieke gegevenstypen definiëren in de werkruimte waartoe u toegang hebt. Toepassen op alle gebruikers, ongeacht uw toegangsmodus of toegangsbeheermodus.

Toegangsmodus

De toegangsmodus verwijst naar de manier waarop u toegang krijgt tot een Log Analytics-werkruimte en definieert de gegevens die u tijdens de huidige sessie kunt openen. De modus wordt bepaald op basis van het bereik dat u selecteert in Log Analytics.

Er zijn twee toegangsmodi:

• Werkruimtecontext: u kunt alle logboeken weergeven in de werkruimte waarvoor u gemachtigd bent. Query's in deze modus zijn gericht op alle gegevens in alle tabellen in de werkruimte. Deze toegangsmodus wordt gebruikt wanneer logboeken worden geopend met de werkruimte als het bereik, bijvoorbeeld wanneer u Logboeken selecteert in het menu Azure Monitor in de Azure Portal.
• Resourcecontext: Wanneer u de werkruimte opent voor een bepaalde resource, resourcegroep of abonnement, bijvoorbeeld wanneer u Logboeken selecteert in een resourcemenu in de Azure Portal, kunt u alleen logboeken weergeven voor resources in alle tabellen waartoe u toegang hebt. Query's in deze modus zijn alleen gericht op gegevens die zijn gekoppeld aan die resource. Deze modus maakt ook gedetailleerde Azure RBAC mogelijk. Werkruimten gebruiken een logboekmodel voor resourcecontext, waarbij elke logboekrecord die door een Azure-resource wordt verzonden, automatisch aan deze resource wordt gekoppeld.

Records zijn alleen beschikbaar in resourcecontextquery's als ze zijn gekoppeld aan de relevante resource. Als u deze koppeling wilt controleren, voert u een query uit en controleert u of de kolom _ResourceId is ingevuld.

Er zijn bekende beperkingen voor de volgende resources:

• Computers buiten Azure: Resourcecontext wordt alleen ondersteund met Azure Arc voor servers.
• Application Insights: wordt alleen ondersteund voor resourcecontext wanneer u een Application Insights-resource op basis van een werkruimte gebruikt.
• Azure Service Fabric

Toegangsmodi vergelijken

De volgende tabel bevat een overzicht van de toegangsmodi:

Probleem	Werkruimtecontext	Resourcecontext
Voor wie is elk model bedoeld?	Centraal beheer. Beheerders die gegevensverzameling moeten configureren en gebruikers die toegang nodig hebben tot een breed scala aan resources. Momenteel ook vereist voor gebruikers die toegang nodig hebben tot logboeken voor resources buiten Azure.	Toepassingsteams. Beheerders van Azure-resources die worden bewaakt. Hiermee kunnen ze zich concentreren op hun resource zonder te filteren.
Wat heeft een gebruiker nodig om logboeken weer te geven?	Machtigingen voor de werkruimte. Zie Werkruimtemachtigingen in Toegang beheren met werkruimtemachtigingen.	Leestoegang tot de resource. Zie Resourcemachtigingen in Toegang beheren met behulp van Azure-machtigingen. Machtigingen kunnen worden overgenomen van de resourcegroep of het abonnement of rechtstreeks worden toegewezen aan de resource. Machtigingen voor de logboeken voor de resource worden automatisch toegewezen. De gebruiker heeft geen toegang tot de werkruimte nodig.
Wat is het bereik van machtigingen?	Werkruimte. Gebruikers met toegang tot de werkruimte kunnen een query uitvoeren op alle logboeken in de werkruimte vanuit tabellen waarvoor ze machtigingen hebben. Zie Leestoegang op tabelniveau instellen.	Azure-resource. Gebruikers kunnen in elke werkruimte een query uitvoeren op logboeken voor specifieke resources, resourcegroepen of abonnementen waartoe ze toegang hebben, maar ze kunnen geen query's uitvoeren op logboeken voor andere resources.
Hoe kan een gebruiker toegang krijgen tot logboeken?	Selecteer Logboeken in het menu Azure Monitor. Selecteer Logboeken in Log Analytics-werkruimten. Vanuit Azure Monitor-werkmappen.	Selecteer Logboeken in het menu voor de Azure-resource. Gebruikers hebben toegang tot gegevens voor die resource. Selecteer Logboeken in het menu Azure Monitor . Gebruikers hebben toegang tot gegevens voor alle resources waar ze toegang toe hebben. Selecteer Logboeken in Log Analytics-werkruimten. Gebruikers hebben toegang tot gegevens voor alle resources waar ze toegang toe hebben. Vanuit Azure Monitor-werkmappen.

Toegangsbeheermodus

De toegangsbeheermodus is een instelling voor elke werkruimte die definieert hoe machtigingen voor de werkruimte worden bepaald.

• Werkruimtemachtigingen vereisen. Deze beheermodus staat geen gedetailleerde Azure RBAC toe. Voor toegang tot de werkruimte moet de gebruiker machtigingen hebben voor de werkruimte of voor specifieke tabellen.

  Als een gebruiker toegang heeft tot de werkruimte in de werkruimtecontextmodus, heeft deze toegang tot alle gegevens in elke tabel waar hij of zij toegang toe heeft gekregen. Als een gebruiker toegang heeft tot de werkruimte in de resourcecontextmodus, heeft deze alleen toegang tot gegevens voor die resource in een tabel waartoe ze toegang hebben gekregen.

  Deze instelling is de standaardinstelling voor alle werkruimten die vóór maart 2019 zijn gemaakt.

• Resource- of werkruimtemachtigingen gebruiken. Deze besturingsmodus maakt gedetailleerde Azure RBAC mogelijk. Gebruikers kunnen alleen toegang krijgen tot gegevens die zijn gekoppeld aan resources die ze kunnen weergeven door Azure-machtigingen read toe te wijzen.

  Wanneer een gebruiker de werkruimte opent in de werkruimtecontextmodus, zijn werkruimtemachtigingen van toepassing. Wanneer een gebruiker de werkruimte opent in de resourcecontextmodus, worden alleen resourcemachtigingen geverifieerd en worden werkruimtemachtigingen genegeerd. Schakel Azure RBAC in voor een gebruiker door deze uit werkruimtemachtigingen te verwijderen en de resourcemachtigingen te laten herkennen.

  Deze instelling is de standaardinstelling voor alle werkruimten die na maart 2019 zijn gemaakt.

  Notitie

  Als een gebruiker alleen resourcemachtigingen voor de werkruimte heeft, heeft deze alleen toegang tot de werkruimte via de resourcecontextmodus, ervan uitgaande dat de toegangsmodus voor de werkruimte is ingesteld op Resource- of werkruimtemachtigingen gebruiken.

Toegangsbeheermodus voor een werkruimte configureren

Azure-portal

Bekijk de huidige modus voor toegangsbeheer voor werkruimten op de pagina Overzicht voor de werkruimte in het menu Log Analytics-werkruimte .

Wijzig deze instelling op de pagina Eigenschappen van de werkruimte. Als u geen machtigingen hebt om de werkruimte te configureren, is het wijzigen van de instelling uitgeschakeld.

PowerShell

Gebruik de volgende opdracht om de modus voor toegangsbeheer voor alle werkruimten in het abonnement weer te geven:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

De uitvoer moet er ongeveer als volgt uitzien:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Een waarde van False betekent dat de werkruimte is geconfigureerd met de toegangsmodus werkruimtecontext . Een waarde van True betekent dat de werkruimte is geconfigureerd met de toegangsmodus voor resourcecontext .

Notitie

Als een werkruimte wordt geretourneerd zonder een Booleaanse waarde en leeg is, komt dit resultaat ook overeen met de resultaten van een False waarde.

Gebruik het volgende script om de toegangsbeheermodus voor een specifieke werkruimte in te stellen op resourcecontextmachtiging :

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Gebruik het volgende script om de toegangsbeheermodus voor alle werkruimten in het abonnement in te stellen op resourcecontextmachtiging :

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Als u de toegangsmodus in een Azure Resource Manager-sjabloon wilt configureren, stelt u de functievlag enableLogAccessUsingOnlyResourcePermissions in de werkruimte in op een van de volgende waarden:

• false: stel de werkruimte in op machtigingen voor werkruimtecontext . Deze instelling is de standaardinstelling als de vlag niet is ingesteld.
• true: stel de werkruimte in op machtigingen voor resourcecontext .

Azure RBAC

Toegang tot een werkruimte wordt beheerd met behulp van Azure RBAC. Als u toegang wilt verlenen tot de Log Analytics-werkruimte met behulp van Azure-machtigingen, volgt u de stappen in Azure-rollen toewijzen om de toegang tot uw Azure-abonnementsresources te beheren.

Werkruimtemachtigingen

Aan elke werkruimte kunnen meerdere accounts zijn gekoppeld. Elk account kan toegang hebben tot meerdere werkruimten. De volgende tabel bevat de Azure-machtigingen voor verschillende werkruimteacties:

Actie	Benodigde Azure-machtigingen	Notities
De prijscategorie wijzigen.	Microsoft.OperationalInsights/workspaces/*/write
Maak een werkruimte in de Azure Portal.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Bekijk de basiseigenschappen van de werkruimte en voer het werkruimtevenster in de portal in.	Microsoft.OperationalInsights/workspaces/read
Query's uitvoeren op logboeken met behulp van een interface.	Microsoft.OperationalInsights/workspaces/query/read
Toegang tot alle logboektypen met behulp van query's.	Microsoft.OperationalInsights/workspaces/query/*/read
Toegang tot een specifieke logboektabel.	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Lees de werkruimtesleutels om het verzenden van logboeken naar deze werkruimte toe te staan.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Bewakingsoplossingen toevoegen en verwijderen.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Deze machtigingen moeten worden toegekend op het niveau van de resourcegroep of het abonnement.
Gegevens weergeven in de tegels Back-up en Site Recovery oplossing.	Beheerder/co-beheerder Toegang tot resources die zijn geïmplementeerd met behulp van het klassieke implementatiemodel.
Voer een zoektaak uit.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Gegevens uit gearchiveerde tabel herstellen.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Ingebouwde rollen

Wijs gebruikers toe aan deze rollen om ze toegang te geven tot verschillende bereiken:

• Abonnement: toegang tot alle werkruimten in het abonnement
• Resourcegroep: toegang tot alle werkruimten in de resourcegroep
• Resource: alleen toegang tot de opgegeven werkruimte

Maak toewijzingen op resourceniveau (werkruimte) om nauwkeurig toegangsbeheer te garanderen. Gebruik aangepaste rollen om rollen te maken met de specifieke machtigingen die nodig zijn.

Notitie

Als u gebruikers wilt toevoegen aan en verwijderen uit een gebruikersrol, moet u de machtiging en Microsoft.Authorization/*/Write hebbenMicrosoft.Authorization/*/Delete.

Lezer van Log Analytics

Leden van de rol Log Analytics-lezer kunnen alle bewakingsgegevens en bewakingsinstellingen bekijken, met inbegrip van de configuratie van Diagnostische gegevens van Azure voor alle Azure-resources.

Leden van de rol Lezer van Log Analytics kunnen:

• Alle bewakingsgegevens weergeven en doorzoeken.
• Controlegegevens weergeven, inclusief de configuratie van Azure Diagnostics voor alle Azure-resources.

De rol Lezer van Log Analytics bevat de volgende Azure-acties:

Type	Machtiging	Beschrijving
Actie	*/read	Mogelijkheid om alle Azure-resources en resourceconfiguratie weer te geven. Omvat: - Extensiestatus van virtuele machine. - Configuratie van Azure-diagnostische gegevens voor resources. - Alle eigenschappen en instellingen van alle resources. Voor werkruimten staat u volledige onbeperkte machtigingen toe om de werkruimte-instellingen te lezen en gegevens op te vragen. Bekijk meer gedetailleerde opties in de voorgaande lijst.
Actie	Microsoft.Support/*	Mogelijkheid om ondersteuningsaanvragen te openen.
Geen bewerking	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Hiermee voorkomt u dat de werkruimtesleutel wordt gelezen die is vereist voor het gebruik van de API voor gegevensverzameling en voor het installeren van agents. Hiermee voorkomt u dat de gebruiker nieuwe resources aan de werkruimte toevoegt.
Actie	Microsoft.OperationalInsights/workspaces/analytics/query/action	Afgeschaft.
Actie	Microsoft.OperationalInsights/workspaces/search/action	Afgeschaft.

Inzender van Log Analytics

Leden van de rol Inzender van Log Analytics kunnen:

• Lees alle bewakingsgegevens die zijn verleend door de rol Log Analytics-lezer.
• Bewakingsinstellingen voor Azure-resources bewerken, waaronder:
  • De VM-extensie toevoegen aan VM's.
  • Diagnostische gegevens van Azure configureren voor alle Azure-resources.
• Automation-accounts maken en configureren. Machtiging moet worden verleend op het niveau van de resourcegroep of het abonnement.
• Beheeroplossingen toevoegen en verwijderen. Machtiging moet worden verleend op het niveau van de resourcegroep of het abonnement.
• Opslagaccountsleutels lezen.
• Configureer de verzameling logboeken van Azure Storage.
• Regels voor gegevensexport configureren.
• Voer een zoektaak uit.
• Gearchiveerde logboeken herstellen.

Waarschuwing

U kunt de machtiging gebruiken om een virtuele-machineextensie toe te voegen aan een virtuele machine om volledige controle over een virtuele machine te krijgen.

De rol Log Analytics-inzender bevat de volgende Azure-acties:

Machtiging	Beschrijving
*/read	Mogelijkheid om alle Azure-resources en resourceconfiguratie weer te geven. Omvat: - Extensiestatus van virtuele machine. - Configuratie van Azure-diagnostische gegevens voor resources. - Alle eigenschappen en instellingen van alle resources. Voor werkruimten staat u volledige onbeperkte machtigingen toe om de werkruimte-instellingen te lezen en gegevens op te vragen. Bekijk meer gedetailleerde opties in de voorgaande lijst.
Microsoft.Automation/automationAccounts/*	Mogelijkheid om Azure Automation-accounts te maken en te configureren, inclusief het toevoegen en bewerken van runbooks.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Extensies voor virtuele machines toevoegen, bijwerken en verwijderen, waaronder de Microsoft Monitoring Agent-extensie en de OMS-agent voor Linux-extensie.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Geef de opslagaccountsleutel weer. Vereist om Log Analytics te configureren voor het lezen van logboeken van Azure Storage-accounts.
Microsoft.Insights/alertRules/*	Waarschuwingsregels toevoegen, bijwerken en verwijderen.
Microsoft.Insights/diagnosticSettings/*	Diagnostische instellingen voor Azure-resources toevoegen, bijwerken en verwijderen.
Microsoft.OperationalInsights/*	Configuratie voor Log Analytics-werkruimten toevoegen, bijwerken en verwijderen. Voor het bewerken van geavanceerde instellingen voor werkruimten heeft de gebruiker nodig Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Beheeroplossingen toevoegen en verwijderen.
Microsoft.Resources/deployments/*	Maak en verwijder implementaties. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en Automation-accounts.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Maak en verwijder implementaties. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en Automation-accounts.

Resourcemachtigingen

Wanneer gebruikers logboeken van een werkruimte opvragen met behulp van toegang tot resourcecontext, hebben ze de volgende machtigingen voor de resource:

Machtiging	Beschrijving
Microsoft.Insights/logs/<tableName>/read Voorbeelden: Microsoft.Insights/logs/*/read Microsoft.Insights/logs/Heartbeat/read	Mogelijkheid om alle logboekgegevens voor de resource weer te geven
Microsoft.Insights/diagnosticSettings/write	Mogelijkheid om diagnostische instellingen te configureren om het instellen van logboeken voor deze resource toe te staan

De /read machtiging wordt meestal verleend vanuit een rol die */lezen of* machtigingen bevat, zoals de ingebouwde rol Lezer en Inzender . Aangepaste rollen die specifieke acties of toegewezen ingebouwde rollen bevatten, bevatten deze machtiging mogelijk niet.

Voorbeelden van aangepaste rollen

Naast het gebruik van de ingebouwde rollen voor een Log Analytics-werkruimte, kunt u aangepaste rollen maken om gedetailleerdere machtigingen toe te wijzen. Hier volgen enkele veelvoorkomende voorbeelden.

Voorbeeld 1: een gebruiker toestemming geven om logboekgegevens uit hun resources te lezen.

• Configureer de modus voor toegangsbeheer voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• */read Gebruikers of Microsoft.Insights/logs/*/read machtigingen verlenen voor hun resources. Als aan hen al de rol Log Analytics-lezer is toegewezen voor de werkruimte, is dit voldoende.

Voorbeeld 2: een gebruiker toestemming geven om logboekgegevens van hun resources te lezen en een zoektaak uit te voeren.

• Configureer de modus voor toegangsbeheer voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• */read Gebruikers of Microsoft.Insights/logs/*/read machtigingen verlenen voor hun resources. Als aan hen al de rol Log Analytics-lezer is toegewezen voor de werkruimte, is dit voldoende.
• Verwijs gebruikers de volgende machtigingen voor de werkruimte:
  • Microsoft.OperationalInsights/workspaces/tables/write: vereist om de tabel met zoekresultaten (_SRCH) te kunnen maken.
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: vereist om het uitvoeren van de zoektaakbewerking toe te staan.

Voorbeeld 3: Een gebruiker toestemming geven om logboekgegevens van hun resources te lezen en de resources te configureren voor het verzenden van logboeken naar de Log Analytics-werkruimte.

• Configureer de modus voor toegangsbeheer voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Geef gebruikers de volgende machtigingen voor de werkruimte: Microsoft.OperationalInsights/workspaces/read en Microsoft.OperationalInsights/workspaces/sharedKeys/action. Met deze machtigingen kunnen gebruikers geen query's op werkruimteniveau uitvoeren. Ze kunnen alleen de werkruimte inventariseren en deze gebruiken als bestemming voor diagnostische instellingen of agentconfiguratie.
• Geef gebruikers de volgende machtigingen voor hun resources: Microsoft.Insights/logs/*/read en Microsoft.Insights/diagnosticSettings/write. Als aan hen al de rol Log Analytics-inzender , de rol Lezer of */read machtigingen voor deze resource zijn toegewezen, is dit voldoende.

Voorbeeld 4: een gebruiker toestemming geven om logboekgegevens van hun resources te lezen, maar niet om logboeken naar de Log Analytics-werkruimte te verzenden of beveiligingsevenementen te lezen.

• Configureer de modus voor toegangsbeheer voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Geef gebruikers de volgende machtigingen voor hun resources: Microsoft.Insights/logs/*/read.
• Voeg de volgende NonAction toe om te voorkomen dat gebruikers het type SecurityEvent lezen: Microsoft.Insights/logs/SecurityEvent/read. De NonAction heeft dezelfde aangepaste rol als de actie die de leesmachtiging (Microsoft.Insights/logs/*/read) biedt. Als de gebruiker de leesactie overneemt van een andere rol die is toegewezen aan deze resource of aan het abonnement of de resourcegroep, kunnen alle logboektypen worden gelezen. Dit scenario is ook waar als ze de bestaande overnemen */read , bijvoorbeeld met de rol Lezer of Inzender.

Voorbeeld 5: Een gebruiker toestemming geven om logboekgegevens te lezen van hun resources en alle Azure AD aanmelding en logboekgegevens van updatebeheer in de Log Analytics-werkruimte lezen.

• Configureer de modus voor toegangsbeheer voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Verwijs gebruikers de volgende machtigingen voor de werkruimte:
  • Microsoft.OperationalInsights/workspaces/read: vereist zodat de gebruiker de werkruimte kan opsommen en het werkruimtevenster kan openen in de Azure Portal
  • Microsoft.OperationalInsights/workspaces/query/read: vereist voor elke gebruiker die query's kan uitvoeren
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: om Azure AD aanmeldingslogboeken te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Om logboeken van updatebeheeroplossingen te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Om logboeken van updatebeheeroplossingen te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Om updatebeheerlogboeken te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: vereist om updatebeheeroplossingen te kunnen gebruiken
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: vereist om updatebeheeroplossingen te kunnen gebruiken
• Gebruikers de volgende machtigingen verlenen voor hun resources: */read, toegewezen aan de rol Lezer, of Microsoft.Insights/logs/*/read

Voorbeeld 6: Een gebruiker beperken om gearchiveerde logboeken te herstellen.

• Configureer de modus voor toegangsbeheer voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Wijs de gebruiker toe aan de rol Log Analytics-inzender .
• Voeg de volgende NonAction toe om te voorkomen dat gebruikers gearchiveerde logboeken herstellen: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Leestoegang op tabelniveau instellen

Een aangepaste rol maken waarmee specifieke gebruikers of groepen gegevens kunnen lezen uit specifieke tabellen in een werkruimte:

1. Maak een aangepaste rol die gebruikers toestemming geeft om query's uit te voeren in de Log Analytics-werkruimte, op basis van de ingebouwde rol lezer van Azure Monitor-logboeken:

   1. Navigeer naar uw werkruimte en selecteer Toegangsbeheer (IAM)>Rollen.

   2. Klik met de rechtermuisknop op de rol Lezer en selecteer Klonen.

      

      Hiermee opent u het scherm Een aangepaste rol maken .

   3. Voer op het tabblad Basisbeginselen van het scherm een waarde voor aangepaste rolnaam in en geef desgewenst een beschrijving op.

      

   4. Selecteer het tabblad> JSON Bewerken::

      1. Voeg in de sectie het "actions" volgende toe:

         • Microsoft.OperationalInsights/workspaces/read
         • Microsoft.OperationalInsights/workspaces/query/read
         • Microsoft.OperationalInsights/workspaces/analytics/query/action
         • Microsoft.OperationalInsights/workspaces/search/action

      2. Voeg in de sectie "not actions"Microsoft.OperationalInsights/workspaces/sharedKeys/read toe.

      

   5. Selecteer Opslaan>Beoordelen + maken onderaan het scherm en vervolgens Maken op de volgende pagina.

2. Wijs uw aangepaste rol toe aan de relevante gebruikers of groepen:

   1. Selecteer Toegangsbeheer (AIM)>Roltoewijzing toevoegen>.

      

   2. Selecteer de aangepaste rol die u hebt gemaakt en selecteer Volgende.

      

      Hiermee opent u het tabblad Leden van het scherm Aangepaste roltoewijzing toevoegen .

   3. Klik op + Leden selecteren om het scherm Leden selecteren te openen.

      

   4. Zoek en selecteer de relevante gebruiker of groep en klik op Selecteren.

   5. Selecteer Controleren en toewijzen.

3. Ververleent de gebruikers of groepen leestoegang tot specifieke tabellen in een werkruimte door de https://management.azure.com/batch?api-version=2020-06-01 POST-API aan te roepen en de volgende details in de aanvraagbody te verzenden:

   {
       "requests": [
           {
               "content": {
                   "Id": "<GUID_1>",
                   "Properties": {
                       "PrincipalId": "<user_object_ID>",
                       "PrincipalType": "User",
                       "RoleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
                       "Scope": "/subscriptions/<subscription_ID>/resourceGroups/<resource_group_name>/providers/Microsoft.OperationalInsights/workspaces/<workspace_name>/Tables/<table_name>",
                       "Condition": null,
                       "ConditionVersion": null
                   }
               },
               "httpMethod": "PUT",
               "name": "<GUID_2>",
               "requestHeaderDetails": {
                   "commandName": "Microsoft_Azure_AD."
               },
               "url": "/subscriptions/<subscription_ID>/resourceGroups/<resource_group_name>/providers/Microsoft.OperationalInsights/workspaces/<workspace_name>/Tables/<table_name>/providers/Microsoft.Authorization/roleAssignments/<GUID_1>?api-version=2020-04-01-preview"
           }
       ]
   }
   

   Waar:

   • U kunt een GUID genereren voor <GUID 1> en <GUID 2> met behulp van een GUID-generator.
   • <user_object_ID> is de object-id van de gebruiker aan wie u leestoegang in de tabel wilt verlenen.
   • <subscription_ID> is de id van het abonnement dat is gerelateerd aan de werkruimte.
   • <resource_group_name> is de resourcegroep van de werkruimte.
   • <workspace_name> is de naam van de werkruimte.
   • <table_name> is de naam van de tabel waaraan u de gebruikers- of groepsmachtiging wilt toewijzen om gegevens te lezen.

Verouderde methode voor het instellen van leestoegang op tabelniveau

Met aangepaste Azure-rollen kunt u toegang verlenen tot specifieke tabellen in de werkruimte, maar we raden u aan leestoegang op tabelniveau te definiëren zoals hierboven wordt beschreven.

Aangepaste Azure-rollen zijn van toepassing op werkruimten met de toegangsbeheermodus werkruimtecontext of resourcecontext, ongeacht de toegangsmodus van de gebruiker.

Als u toegang tot een bepaalde tabel wilt definiëren, maakt u een aangepaste rol:

• Stel de gebruikersmachtigingen in de sectie Acties van de roldefinitie in.
• Gebruik Microsoft.OperationalInsights/workspaces/query/* om toegang te verlenen tot alle tabellen.
• Als u toegang tot specifieke tabellen wilt uitsluiten wanneer u een jokerteken gebruikt in Acties, vermeldt u de tabellen die zijn uitgesloten in de sectie NotActions van de roldefinitie.

Voorbeelden

Hier volgen voorbeelden van aangepaste rolacties om toegang tot specifieke tabellen te verlenen of te weigeren.

Toegang verlenen tot de tabellen Heartbeat en AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Alleen toegang verlenen tot de tabel SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Toegang verlenen tot alle tabellen, met uitzondering van de tabel SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Aangepaste tabellen

In aangepaste tabellen worden gegevens opgeslagen die u verzamelt uit gegevensbronnen zoals tekstlogboeken en de HTTP Data Collector-API. Als u het tabeltype wilt identificeren, bekijkt u tabelgegevens in Log Analytics.

Notitie

Tabellen die zijn gemaakt door de Logboekopname-API bieden nog geen ondersteuning voor RBAC op tabelniveau.

U kunt geen toegang verlenen tot afzonderlijke aangepaste logboektabellen, maar u kunt wel toegang verlenen tot alle aangepaste logboeken. Als u een rol wilt maken met toegang tot alle aangepaste logboektabellen, maakt u een aangepaste rol met behulp van de volgende acties:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Een alternatieve benadering voor het beheren van toegang tot aangepaste logboeken is om deze toe te wijzen aan een Azure-resource en de toegang te beheren met behulp van toegangsbeheer voor resourcecontext. Neem de resource-id op door deze op te geven in de header x-ms-AzureResourceId wanneer gegevens worden opgenomen in Log Analytics via de HTTP Data Collector-API. De resource-id moet geldig zijn en er moeten toegangsregels op zijn toegepast. Nadat de logboeken zijn opgenomen, zijn ze toegankelijk voor gebruikers met leestoegang tot de resource.

Sommige aangepaste logboeken zijn afkomstig van bronnen die niet rechtstreeks zijn gekoppeld aan een specifieke resource. In dit geval maakt u een resourcegroep om de toegang tot deze logboeken te beheren. Voor de resourcegroep worden geen kosten in rekening gebracht, maar u krijgt wel een geldige resource-id om de toegang tot de aangepaste logboeken te beheren.

Als een specifieke firewall bijvoorbeeld aangepaste logboeken verzendt, maakt u een resourcegroep met de naam MyFireWallLogs. Zorg ervoor dat de API-aanvragen de resource-id van MyFireWallLogs bevatten. De logboekrecords van de firewall zijn vervolgens alleen toegankelijk voor gebruikers aan wie toegang is verleend tot MyFireWallLogs of gebruikers met volledige werkruimtetoegang.

Overwegingen

• Als een gebruiker algemene leesmachtigingen krijgt met de standaardrol Lezer of Inzender die de actie */lezen bevatten, wordt het toegangsbeheer per tabel overschreven en krijgt deze toegang tot alle logboekgegevens.
• Als een gebruiker toegang per tabel krijgt, maar geen andere machtigingen, heeft deze toegang tot logboekgegevens van de API, maar niet van de Azure Portal. Als u toegang wilt bieden vanuit de Azure Portal, gebruikt u Log Analytics-lezer als basisrol.
• Beheerders en eigenaren van het abonnement hebben toegang tot alle gegevenstypen, ongeacht andere machtigingsinstellingen.
• Werkruimte-eigenaren worden behandeld als elke andere gebruiker voor toegangsbeheer per tabel.
• Wijs rollen toe aan beveiligingsgroepen in plaats van afzonderlijke gebruikers om het aantal toewijzingen te verminderen. Deze procedure helpt u ook bij het gebruik van bestaande hulpprogramma's voor groepsbeheer om toegang te configureren en te verifiëren.

Volgende stappen

• Zie Overzicht van Log Analytics-agent voor het verzamelen van gegevens van computers in uw datacenter of een andere cloudomgeving.
• Zie Gegevens verzamelen over virtuele Azure-machines om gegevensverzameling van Azure-VM's te configureren.