Toegang tot Log Analytics-werkruimten beheren

De factoren die bepalen welke gegevens u kunt openen in een Log Analytics-werkruimte zijn:

• De instellingen in de werkruimte zelf.
• Uw toegangsmachtigingen voor resources die gegevens naar de werkruimte verzenden.
• De methode die wordt gebruikt voor toegang tot de werkruimte.

In dit artikel wordt beschreven hoe u de toegang tot gegevens in een Log Analytics-werkruimte beheert.

Overzicht

De factoren die de gegevens definiëren waartoe u toegang hebt, worden beschreven in de volgende tabel. Elke factor wordt verder beschreven in de volgende secties.

Factor	Omschrijving
Toegangsmodus	De methode die wordt gebruikt voor toegang tot de werkruimte. Hiermee definieert u het bereik van de beschikbare gegevens en de toegangsbeheermodus die wordt toegepast.
Toegangsbeheermodus	Instelling voor de werkruimte die bepaalt of machtigingen worden toegepast op werkruimte- of resourceniveau.
Toegangsbeheer op basis van rollen in Azure (RBAC)	Machtigingen die zijn toegepast op personen of groepen gebruikers voor de werkruimte of resource die gegevens naar de werkruimte verzenden. Definieert tot welke gegevens u toegang hebt.
Azure RBAC op tabelniveau	Optionele machtigingen die specifieke gegevenstypen definiëren in de werkruimte waartoe u toegang hebt. Kan worden toegepast op alle toegangsmodi of toegangsbeheermodi.

Toegangsmodus

De toegangsmodus verwijst naar hoe u toegang krijgt tot een Log Analytics-werkruimte en definieert de gegevens die u tijdens de huidige sessie kunt openen. De modus wordt bepaald op basis van het bereik dat u selecteert in Log Analytics.

Er zijn twee toegangsmodi:

• Werkruimtecontext: u kunt alle logboeken weergeven in de werkruimte waarvoor u gemachtigd bent. Query's in deze modus zijn gericht op alle gegevens in tabellen waartoe u toegang hebt in de werkruimte. Deze toegangsmodus wordt gebruikt wanneer logboeken worden geopend met de werkruimte als bereik, bijvoorbeeld wanneer u Logboeken selecteert in het menu Azure Monitor in Azure Portal.
• Resourcecontext: Wanneer u toegang hebt tot de werkruimte voor een bepaalde resource, resourcegroep of abonnement, zoals wanneer u Logboeken selecteert in een resourcemenu in Azure Portal, kunt u logboeken weergeven voor alleen resources in alle tabellen waartoe u toegang hebt. Query's in deze modus zijn alleen gericht op gegevens die aan die resource zijn gekoppeld. Deze modus maakt ook gedetailleerde Azure RBAC mogelijk. Werkruimten maken gebruik van een resourcecontextlogboekmodel waarbij elke logboekrecord die door een Azure-resource wordt verzonden, automatisch aan deze resource wordt gekoppeld.

Records zijn alleen beschikbaar in resourcecontextquery's als ze zijn gekoppeld aan de relevante resource. Als u deze koppeling wilt controleren, voert u een query uit en controleert u of de kolom _ResourceId is ingevuld.

Er zijn bekende beperkingen met de volgende resources:

• Computers buiten Azure: Resourcecontext wordt alleen ondersteund met Azure Arc voor servers.
• Application Insights: alleen ondersteund voor resourcecontext wanneer u een Application Insights-resource op basis van een werkruimte gebruikt.
• Azure Service Fabric

Toegangsmodi vergelijken

De volgende tabel bevat een overzicht van de toegangsmodi:

Probleem	Werkruimtecontext	Resourcecontext
Wie is elk model bedoeld voor?	Centraal beheer. Beheer istrators die gegevensverzameling en gebruikers moeten configureren die toegang nodig hebben tot een groot aantal resources. Momenteel is dit ook vereist voor gebruikers die toegang nodig hebben tot logboeken voor resources buiten Azure.	Toepassingsteams. Beheer istrators van Azure-resources die worden bewaakt. Hiermee kunnen ze zich richten op hun resource zonder te filteren.
Wat heeft een gebruiker nodig om logboeken weer te geven?	Machtigingen voor de werkruimte. Zie Werkruimtemachtigingen in Toegang beheren met werkruimtemachtigingen.	Leestoegang tot de resource. Zie Resourcemachtigingen in Toegang beheren met behulp van Azure-machtigingen. Machtigingen kunnen worden overgenomen van de resourcegroep of het abonnement of rechtstreeks worden toegewezen aan de resource. Machtigingen voor de logboeken voor de resource worden automatisch toegewezen. De gebruiker heeft geen toegang tot de werkruimte nodig.
Wat is het bereik van machtigingen?	Werkruimte. Gebruikers met toegang tot de werkruimte kunnen query's uitvoeren op alle logboeken in de werkruimte vanuit tabellen waarvoor ze machtigingen hebben. Zie Leestoegang op tabelniveau instellen.	Azure-resource. Gebruikers kunnen query's uitvoeren op logboeken voor specifieke resources, resourcegroepen of abonnementen waarvoor ze toegang hebben in elke werkruimte, maar ze kunnen geen query's uitvoeren op logboeken voor andere resources.
Hoe kan een gebruiker logboeken openen?	Selecteer Logboeken in het menu van Azure Monitor. Selecteer Logboeken in Log Analytics-werkruimten. Vanuit Azure Monitor-werkmappen.	Selecteer Logboeken in het menu voor de Azure-resource. Gebruikers hebben toegang tot gegevens voor die resource. Selecteer Logboeken in het menu Van Azure Monitor . Gebruikers hebben toegang tot gegevens voor alle resources waar ze toegang toe hebben. Selecteer Logboeken in Log Analytics-werkruimten als gebruikers toegang hebben tot de werkruimte. Vanuit Azure Monitor-werkmappen.

Toegangsbeheermodus

De toegangsbeheermodus is een instelling voor elke werkruimte die definieert hoe machtigingen voor de werkruimte worden bepaald.

• Werkruimtemachtigingen vereisen. Deze besturingsmodus staat geen gedetailleerde Azure RBAC toe. Voor toegang tot de werkruimte moet de gebruiker machtigingen krijgen voor de werkruimte of aan specifieke tabellen.

  Als een gebruiker toegang heeft tot de werkruimte in de werkruimtecontextmodus, heeft deze toegang tot alle gegevens in elke tabel waarvoor ze toegang hebben gekregen. Als een gebruiker toegang heeft tot de werkruimte in de resourcecontextmodus, heeft deze alleen toegang tot gegevens voor die resource in een tabel waartoe deze gebruiker toegang heeft.

  Deze instelling is de standaardinstelling voor alle werkruimten die vóór maart 2019 zijn gemaakt.

• Gebruik resource- of werkruimtemachtigingen. Met deze besturingsmodus kunt u gedetailleerde Azure RBAC gebruiken. Gebruikers kunnen alleen toegang krijgen tot gegevens die zijn gekoppeld aan resources die ze kunnen bekijken door azure-machtigingen read toe te wijzen.

  Wanneer een gebruiker de werkruimte opent in de werkruimtecontextmodus, zijn werkruimtemachtigingen van toepassing. Wanneer een gebruiker de werkruimte opent in de resourcecontextmodus, worden alleen resourcemachtigingen geverifieerd en worden werkruimtemachtigingen genegeerd. Schakel Azure RBAC in voor een gebruiker door ze te verwijderen uit werkruimtemachtigingen en hun resourcemachtigingen te laten herkennen.

  Deze instelling is de standaardinstelling voor alle werkruimten die na maart 2019 zijn gemaakt.

  Notitie

  Als een gebruiker alleen resourcemachtigingen voor de werkruimte heeft, heeft deze alleen toegang tot de werkruimte met behulp van de resourcecontextmodus, ervan uitgaande dat de werkruimtetoegangsmodus is ingesteld op Resource- of werkruimtemachtigingen gebruiken.

De toegangsbeheermodus voor een werkruimte configureren

Azure-portal

Bekijk de huidige modus voor toegangsbeheer voor werkruimten op de pagina Overzicht voor de werkruimte in het menu van de Log Analytics-werkruimte .

Wijzig deze instelling op de pagina Eigenschappen van de werkruimte. Als u geen machtigingen hebt om de werkruimte te configureren, wordt het wijzigen van de instelling uitgeschakeld.

PowerShell

Gebruik de volgende opdracht om de toegangsbeheermodus voor alle werkruimten in het abonnement weer te geven:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

De uitvoer moet er ongeveer als volgt uitzien:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Een waarde van False dit type betekent dat de werkruimte is geconfigureerd met de toegangsmodus voor werkruimtecontext . Een waarde van True dit type betekent dat de werkruimte is geconfigureerd met de toegangsmodus voor resourcecontext .

Notitie

Als een werkruimte wordt geretourneerd zonder een Booleaanse waarde en leeg is, komt dit resultaat ook overeen met de resultaten van een False waarde.

Gebruik het volgende script om de toegangsbeheermodus voor een specifieke werkruimte in te stellen op machtiging voor resourcecontext :

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Gebruik het volgende script om de toegangsbeheermodus voor alle werkruimten in het abonnement in te stellen op machtiging voor resourcecontext :

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Als u de toegangsmodus in een Azure Resource Manager-sjabloon wilt configureren, stelt u de functievlag enableLogAccessUsingOnlyResourcePermissions in de werkruimte in op een van de volgende waarden:

• false: Stel de werkruimte in op machtigingen voor werkruimtecontext . Deze instelling is de standaardinstelling als de vlag niet is ingesteld.
• true: Stel de werkruimte in op machtigingen voor resourcecontext .

Azure RBAC

Toegang tot een werkruimte wordt beheerd met behulp van Azure RBAC. Als u toegang wilt verlenen tot de Log Analytics-werkruimte met behulp van Azure-machtigingen, volgt u de stappen in Azure-rollen toewijzen om de toegang tot uw Azure-abonnementsbronnen te beheren.

Werkruimtemachtigingen

Aan elke werkruimte kunnen meerdere accounts zijn gekoppeld. Elk account heeft toegang tot meerdere werkruimten. De volgende tabel bevat de Azure-machtigingen voor verschillende werkruimteacties:

Actie	Benodigde Azure-machtigingen	Opmerkingen
Wijzig de prijscategorie.	Microsoft.OperationalInsights/workspaces/*/write
Maak een werkruimte in Azure Portal.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Bekijk de basiseigenschappen van de werkruimte en voer het werkruimtedeelvenster in de portal in.	Microsoft.OperationalInsights/workspaces/read
Query's uitvoeren op logboeken met behulp van een interface.	Microsoft.OperationalInsights/workspaces/query/read
Open alle logboektypen met behulp van query's.	Microsoft.OperationalInsights/workspaces/query/*/read
Toegang tot een specifieke logboektabel - verouderde methode	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Lees de werkruimtesleutels om het verzenden van logboeken naar deze werkruimte toe te staan.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Bewakingsoplossingen toevoegen en verwijderen.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Deze machtigingen moeten worden toegekend op het niveau van de resourcegroep of het abonnement.
Gegevens weergeven in de tegels van de Back-up- en Site Recovery-oplossing.	Beheer istrator/co-beheerder Hiermee opent u resources die zijn geïmplementeerd met behulp van het klassieke implementatiemodel.
Voer een zoektaak uit.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Gegevens uit gearchiveerde tabel herstellen.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Ingebouwde rollen

Wijs gebruikers toe aan deze rollen om ze toegang te geven tot verschillende bereiken:

• Abonnement: Toegang tot alle werkruimten in het abonnement
• Resourcegroep: Toegang tot alle werkruimten in de resourcegroep
• Resource: alleen toegang tot de opgegeven werkruimte

Maak toewijzingen op resourceniveau (werkruimte) om nauwkeurig toegangsbeheer te garanderen. Gebruik aangepaste rollen om rollen te maken met de specifieke machtigingen die nodig zijn.

Notitie

Als u gebruikers aan een gebruikersrol wilt toevoegen en verwijderen, moet u beschikken over en Microsoft.Authorization/*/Write machtigingen hebbenMicrosoft.Authorization/*/Delete.

Lezer van Log Analytics

Leden van de rol Log Analytics Reader kunnen alle bewakingsgegevens en bewakingsinstellingen bekijken, inclusief de configuratie van Diagnostische gegevens van Azure op alle Azure-resources.

Leden van de rol Lezer van Log Analytics kunnen:

• Alle bewakingsgegevens weergeven en doorzoeken.
• Controlegegevens weergeven, inclusief de configuratie van Azure Diagnostics voor alle Azure-resources.

De rol Log Analytics Reader bevat de volgende Azure-acties:

Type	Machtiging	Omschrijving
Actie	*/read	Mogelijkheid om alle Azure-resources en resourceconfiguratie weer te geven. Omvat: - Extensiestatus van virtuele machine. - Configuratie van Diagnostische gegevens van Azure voor resources. - Alle eigenschappen en instellingen van alle resources. Voor werkruimten zijn volledige onbeperkte machtigingen toegestaan om de instellingen van de werkruimte te lezen en gegevens op te vragen. Bekijk meer gedetailleerde opties in de voorgaande lijst.
Actie	Microsoft.Support/*	Mogelijkheid om ondersteuningsaanvragen te openen.
Geen bewerking	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Voorkomt het lezen van de werkruimtesleutel die is vereist voor het gebruik van de API voor gegevensverzameling en het installeren van agents. Hiermee voorkomt u dat de gebruiker nieuwe resources toevoegt aan de werkruimte.

Inzender van Log Analytics

Leden van de rol Inzender van Log Analytics kunnen:

• Lees alle bewakingsgegevens die zijn verleend door de rol Log Analytics Reader.
• Bewakingsinstellingen voor Azure-resources bewerken, waaronder:
  • De VM-extensie toevoegen aan VM's.
  • Diagnostische gegevens van Azure configureren voor alle Azure-resources.
• Automation-accounts maken en configureren. De machtiging moet worden verleend op het niveau van de resourcegroep of het abonnement.
• Beheeroplossingen toevoegen en verwijderen. De machtiging moet worden verleend op het niveau van de resourcegroep of het abonnement.
• Opslagaccountsleutels lezen.
• Configureer de verzameling logboeken van Azure Storage.
• Regels voor gegevensexport configureren.
• Voer een zoektaak uit.
• Gearchiveerde logboeken herstellen.

Waarschuwing

U kunt de machtiging gebruiken om een virtuele-machineextensie toe te voegen aan een virtuele machine om volledige controle te krijgen over een virtuele machine.

De rol Log Analytics-inzender bevat de volgende Azure-acties:

Machtiging	Omschrijving
*/read	Mogelijkheid om alle Azure-resources en resourceconfiguratie weer te geven. Omvat: - Extensiestatus van virtuele machine. - Configuratie van Diagnostische gegevens van Azure voor resources. - Alle eigenschappen en instellingen van alle resources. Voor werkruimten zijn volledige onbeperkte machtigingen toegestaan om de instellingen van de werkruimte te lezen en gegevens op te vragen. Bekijk meer gedetailleerde opties in de voorgaande lijst.
Microsoft.Automation/automationAccounts/*	Mogelijkheid om Azure Automation-accounts te maken en te configureren, waaronder het toevoegen en bewerken van runbooks.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Extensies voor virtuele machines toevoegen, bijwerken en verwijderen, waaronder de Extensie Microsoft Monitoring Agent en de OMS Agent voor Linux-extensie.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Geef de opslagaccountsleutel weer. Vereist voor het configureren van Log Analytics voor het lezen van logboeken van Azure Storage-accounts.
Microsoft.Insights/alertRules/*	Waarschuwingsregels toevoegen, bijwerken en verwijderen.
Microsoft.Insights/diagnosticSettings/*	Diagnostische instellingen toevoegen, bijwerken en verwijderen in Azure-resources.
Microsoft.OperationalInsights/*	Configuratie voor Log Analytics-werkruimten toevoegen, bijwerken en verwijderen. Als u geavanceerde instellingen voor werkruimten wilt bewerken, moet de gebruiker .Microsoft.OperationalInsights/workspaces/write
Microsoft.OperationsManagement/*	Beheeroplossingen toevoegen en verwijderen.
Microsoft.Resources/deployments/*	Maak en verwijder implementaties. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en automation-accounts.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Maak en verwijder implementaties. Vereist voor het toevoegen en verwijderen van oplossingen, werkruimten en automation-accounts.

Resourcemachtigingen

Als u gegevens wilt lezen uit of gegevens wilt verzenden naar een werkruimte in de resourcecontext, hebt u deze machtigingen nodig voor de resource:

Machtiging	Omschrijving
Microsoft.Insights/logs/*/read	Mogelijkheid om alle logboekgegevens voor de resource weer te geven
Microsoft.Insights/logs/<tableName>/read Voorbeeld: Microsoft.Insights/logs/Heartbeat/read	Mogelijkheid om een specifieke tabel voor deze resource weer te geven - verouderde methode
Microsoft.Insights/diagnosticSettings/write	Mogelijkheid om diagnostische instellingen te configureren om het instellen van logboeken voor deze resource toe te staan

De /read machtiging wordt meestal verleend vanuit een rol die */lees- of* machtigingen bevat, zoals de ingebouwde rollen Lezer en Inzender. Aangepaste rollen die specifieke acties of toegewezen ingebouwde rollen bevatten, bevatten mogelijk niet deze machtiging.

Voorbeelden van aangepaste rollen

Naast het gebruik van de ingebouwde rollen voor een Log Analytics-werkruimte, kunt u aangepaste rollen maken om gedetailleerdere machtigingen toe te wijzen. Hier volgen enkele veelvoorkomende voorbeelden.

Voorbeeld 1: Een gebruiker toestemming geven om logboekgegevens uit hun resources te lezen.

• Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• */read Gebruikers of Microsoft.Insights/logs/*/read machtigingen verlenen aan hun resources. Als ze al de rol Log Analytics Reader in de werkruimte hebben toegewezen, is dit voldoende.

Voorbeeld 2: Een gebruiker toestemming geven om logboekgegevens uit hun resources te lezen en een zoektaak uit te voeren.

• Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• */read Gebruikers of Microsoft.Insights/logs/*/read machtigingen verlenen aan hun resources. Als ze al de rol Log Analytics Reader in de werkruimte hebben toegewezen, is dit voldoende.
• Gebruikers de volgende machtigingen verlenen voor de werkruimte:
  • Microsoft.OperationalInsights/workspaces/tables/write: Vereist om de tabel met zoekresultaten te kunnen maken (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: Vereist om de zoektaakbewerking uit te voeren.

Voorbeeld 3: Een gebruiker toestemming geven om logboekgegevens van hun resources te lezen en hun resources te configureren voor het verzenden van logboeken naar de Log Analytics-werkruimte.

• Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Gebruikers de volgende machtigingen verlenen voor de werkruimte: Microsoft.OperationalInsights/workspaces/read en Microsoft.OperationalInsights/workspaces/sharedKeys/action. Met deze machtigingen kunnen gebruikers geen query's op werkruimteniveau uitvoeren. Ze kunnen de werkruimte alleen opsommen en gebruiken als bestemming voor diagnostische instellingen of agentconfiguratie.
• Gebruikers de volgende machtigingen verlenen voor hun resources: Microsoft.Insights/logs/*/read en Microsoft.Insights/diagnosticSettings/write. Als ze al de rol Log Analytics-inzender hebben toegewezen, de rol Lezer hebben toegewezen of machtigingen voor deze resource hebben verleend */read , is dit voldoende.

Voorbeeld 4: Een gebruiker toestemming geven om logboekgegevens van hun resources te lezen, maar niet om logboeken naar de Log Analytics-werkruimte te verzenden of beveiligingsevenementen te lezen.

• Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Gebruikers de volgende machtigingen verlenen voor hun resources: Microsoft.Insights/logs/*/read.
• Voeg de volgende NonAction toe om te voorkomen dat gebruikers het type SecurityEvent lezen: Microsoft.Insights/logs/SecurityEvent/read. NonAction heeft dezelfde aangepaste rol als de actie die de leesmachtiging (Microsoft.Insights/logs/*/read) biedt. Als de gebruiker de leesactie over neemt van een andere rol die is toegewezen aan deze resource of aan het abonnement of de resourcegroep, kunnen ze alle logboektypen lezen. Dit scenario is ook waar als ze */read die overnemen, bijvoorbeeld met de rol Lezer of Inzender.

Voorbeeld 5: Een gebruiker toestemming geven om logboekgegevens van hun resources en alle aanmeldingsgegevens van microsoft Entra te lezen en logboekgegevens van updatebeheer te lezen in de Log Analytics-werkruimte.

• Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Gebruikers de volgende machtigingen verlenen voor de werkruimte:
  • Microsoft.OperationalInsights/workspaces/read: Vereist zodat de gebruiker de werkruimte kan inventariseren en het werkruimtedeelvenster in Azure Portal kan openen
  • Microsoft.OperationalInsights/workspaces/query/read: Vereist voor elke gebruiker die query's kan uitvoeren
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Om aanmeldingslogboeken van Microsoft Entra te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Om oplossingslogboeken voor updatebeheer te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Om oplossingslogboeken voor updatebeheer te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Om updatebeheerlogboeken te kunnen lezen
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Vereist om updatebeheeroplossingen te kunnen gebruiken
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Vereist om updatebeheeroplossingen te kunnen gebruiken
• Gebruikers de volgende machtigingen verlenen aan hun resources: */read, toegewezen aan de rol Lezer of Microsoft.Insights/logs/*/read

Voorbeeld 6: Een gebruiker beperken om gearchiveerde logboeken te herstellen.

• Configureer de toegangsbeheermodus voor werkruimten om werkruimte- of resourcemachtigingen te gebruiken.
• Wijs de gebruiker toe aan de rol Log Analytics-inzender .
• Voeg de volgende NonAction toe om te voorkomen dat gebruikers gearchiveerde logboeken herstellen: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Leestoegang op tabelniveau instellen

Met toegangsinstellingen op tabelniveau kunt u specifieke gebruikers of groepen alleen-lezenmachtigingen verlenen voor gegevens uit bepaalde tabellen. Gebruikers met leestoegang op tabelniveau kunnen gegevens lezen uit de opgegeven tabellen in zowel de werkruimte als de resourcecontext.

Notitie

We raden u aan de hier beschreven methode te gebruiken, die momenteel in preview is, om toegang op tabelniveau te definiëren. U kunt ook de verouderde methode gebruiken om leestoegang op tabelniveau in te stellen. Dit heeft enkele beperkingen met betrekking tot aangepaste logboektabellen. Tijdens de preview is de aanbevolen methode die hier wordt beschreven, niet van toepassing op Detectieregels voor Microsoft Sentinel, die mogelijk toegang hebben tot meer tabellen dan bedoeld. Zie overwegingen en beperkingen voor toegang op tabelniveau voordat u een van beide methoden gebruikt.

Het verlenen van leestoegang op tabelniveau omvat het toewijzen van twee rollen aan een gebruiker:

• Op werkruimteniveau: een aangepaste rol die beperkte machtigingen biedt om werkruimtegegevens te lezen en een query uit te voeren in de werkruimte, maar geen gegevens uit tabellen te lezen.
• Op tabelniveau- een lezerrol , die is afgestemd op de specifieke tabel.

Een gebruiker of groep beperkte machtigingen verlenen aan de Log Analytics-werkruimte:

1. Maak een aangepaste rol op werkruimteniveau zodat gebruikers werkruimtegegevens kunnen lezen en een query kunnen uitvoeren in de werkruimte, zonder leestoegang tot gegevens in tabellen te bieden:

   1. Navigeer naar uw werkruimte en selecteer Toegangsbeheer (IAM)>-rollen.

   2. Klik met de rechtermuisknop op de rol Lezer en selecteer Klonen.

      

      Hiermee opent u het scherm Een aangepaste rol maken.

   3. Op het tabblad Basisbeginselen van het scherm:

      1. Voer een waarde voor de naam van een aangepaste rol in en geef desgewenst een beschrijving op.
      2. Stel basislijnmachtigingen in op Helemaal opnieuw beginnen.

      

   4. Selecteer het tabblad >JSON Bewerken:

      1. Voeg in de "actions" sectie deze acties toe:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. Voeg in de "not actions" sectie het volgende toe:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Selecteer Controle opslaan>en maken onder aan het scherm en maak vervolgens op de volgende pagina.

2. Wijs uw aangepaste rol toe aan de relevante gebruiker:

   1. Selecteer Toegangsbeheer (AIM)>Roltoewijzing toevoegen.>

      

   2. Selecteer de aangepaste rol die u hebt gemaakt en selecteer Volgende.

      

      Hiermee opent u het tabblad Leden van het scherm Aangepaste roltoewijzing toevoegen.

   3. Klik op + Leden selecteren om het scherm Leden selecteren te openen.

      

   4. Zoek en selecteer een gebruiker en klik op Selecteren.

   5. Selecteer Controleren en toewijzen.

De gebruiker kan nu werkruimtegegevens lezen en een query uitvoeren, maar kan geen gegevens uit tabellen lezen.

De gebruiker leestoegang verlenen tot een specifieke tabel:

1. Selecteer Tabellen in het menu Log Analytics-werkruimten.

2. Selecteer het beletselteken (... ) rechts van de tabel en selecteer Toegangsbeheer (IAM).

   

3. Selecteer In het scherm Toegangsbeheer (IAM) de optie Roltoewijzing toevoegen>.

4. Selecteer de rol Lezer en selecteer Volgende.

5. Klik op + Leden selecteren om het scherm Leden selecteren te openen.

6. Zoek en selecteer de gebruiker en klik op Selecteren.

7. Selecteer Controleren en toewijzen.

De gebruiker kan nu gegevens uit deze specifieke tabel lezen. Verdeel de gebruiker indien nodig leestoegang tot andere tabellen in de werkruimte.

Verouderde methode voor het instellen van leestoegang op tabelniveau

De verouderde methode op tabelniveau maakt ook gebruik van aangepaste Azure-rollen om specifieke gebruikers of groepen toegang te verlenen tot specifieke tabellen in de werkruimte. Aangepaste Azure-rollen zijn van toepassing op werkruimten met toegangsbeheermodi voor werkruimtecontext of resourcecontext, ongeacht de toegangsmodus van de gebruiker.

Als u toegang tot een bepaalde tabel wilt definiëren, maakt u een aangepaste rol:

• Stel de gebruikersmachtigingen in de sectie Acties van de roldefinitie in.
• Hiermee Microsoft.OperationalInsights/workspaces/query/* verleent u toegang tot alle tabellen.
• Als u de toegang tot specifieke tabellen wilt uitsluiten wanneer u een jokerteken gebruikt in Acties, vermeldt u de tabellen die zijn uitgesloten tabellen in de sectie NotActions van de roldefinitie.

Hier volgen voorbeelden van aangepaste rolacties voor het verlenen en weigeren van toegang tot specifieke tabellen.

Toegang verlenen tot de heartbeat - en AzureActivity-tabellen :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Alleen toegang verlenen tot de SecurityBaseline-tabel :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Toegang verlenen tot alle tabellen behalve de tabel SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Beperkingen van de verouderde methode met betrekking tot aangepaste tabellen

In aangepaste tabellen worden gegevens opgeslagen die u verzamelt uit gegevensbronnen, zoals tekstlogboeken en de HTTP-gegevensverzamelaar-API. Als u het tabeltype wilt identificeren, bekijkt u tabelgegevens in Log Analytics.

Met behulp van de verouderde methode voor toegang op tabelniveau kunt u geen toegang verlenen tot afzonderlijke aangepaste logboektabellen op tabelniveau, maar u kunt wel toegang verlenen tot alle aangepaste logboektabellen. Als u een rol wilt maken met toegang tot alle aangepaste logboektabellen, maakt u een aangepaste rol met behulp van de volgende acties:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Overwegingen en beperkingen voor toegang op tabelniveau

• In de Log Analytics-gebruikersinterface kunnen gebruikers met tabelniveau de lijst met alle tabellen in de werkruimte zien, maar kunnen ze alleen gegevens ophalen uit tabellen waartoe ze toegang hebben.
• De standaardrol Lezer of Inzender, waaronder de actie */lezen , overschrijft toegangsbeheer op tabelniveau en geeft gebruikers toegang tot alle logboekgegevens.
• Een gebruiker met toegang op tabelniveau, maar geen machtigingen op werkruimteniveau heeft toegang tot logboekgegevens van de API, maar niet vanuit Azure Portal.
• Beheer istrators en eigenaren van het abonnement hebben toegang tot alle gegevenstypen, ongeacht andere machtigingsinstellingen.
• Werkruimte-eigenaren worden behandeld als elke andere gebruiker voor toegangsbeheer per tabel.
• Wijs rollen toe aan beveiligingsgroepen in plaats van afzonderlijke gebruikers om het aantal toewijzingen te verminderen. Deze procedure helpt u ook bij het gebruik van bestaande hulpprogramma's voor groepsbeheer om de toegang te configureren en te verifiëren.

Volgende stappen

• Zie het overzicht van de Log Analytics-agent voor het verzamelen van gegevens van computers in uw datacenter of een andere cloudomgeving.
• Zie Gegevens verzamelen over virtuele Azure-machines voor het configureren van gegevensverzameling van Azure-VM's.