Gerir o acesso aos espaços de trabalho do Log Analytics

Os dados num espaço de trabalho log analytics a que pode aceder são determinados por uma combinação dos seguintes fatores:

  • As definições no próprio espaço de trabalho.
  • O acesso aos recursos que enviam dados para o espaço de trabalho.
  • O método usado para aceder ao espaço de trabalho.

Este artigo descreve como o acesso é gerido e como executar qualquer configuração necessária.

Descrição geral

Os fatores que definem os dados a que pode aceder são descritos na tabela seguinte. Cada fator é ainda descrito nas secções que se seguem.

Fator Descrição
Modo de acesso Método usado para aceder ao espaço de trabalho. Define o âmbito dos dados disponíveis e o modo de controlo de acesso que é aplicado.
Modo de controlo de acesso Definição no espaço de trabalho que define se as permissões são aplicadas no espaço de trabalho ou no nível de recursos.
Controlo de acesso baseado em funções do Azure (RBAC) Permissões aplicadas a indivíduos ou grupos de utilizadores para o espaço de trabalho ou dados de envio de recursos para o espaço de trabalho. Define a que dados tem acesso.
Azure RBAC de nível de mesa Permissões opcionais que definem tipos de dados específicos no espaço de trabalho a que pode aceder. Aplicar a todos os utilizadores independentemente do seu modo de acesso ou modo de controlo de acesso.

Modo de acesso

O modo de acesso refere-se à forma como acede a um espaço de trabalho do Log Analytics e define os dados a que pode aceder durante a sessão atual. O modo é determinado de acordo com o âmbito selecionado no Log Analytics.

Existem dois modos de acesso:

  • Contexto do espaço de trabalho: Pode visualizar todos os registos no espaço de trabalho para o qual tem permissão. As consultas neste modo são procuradas em todos os dados em todas as tabelas do espaço de trabalho. Este modo de acesso é utilizado quando os registos são acedidos ao espaço de trabalho como o âmbito, tal como quando seleciona Registos no menu Azure Monitor no portal do Azure.
  • Contexto de recursos: Ao aceder ao espaço de trabalho para um determinado recurso, grupo de recursos ou subscrição, como quando seleciona Logs a partir de um menu de recursos no portal do Azure, pode visualizar registos apenas em todas as tabelas a que tenha acesso. As consultas neste modo são procuradas apenas por dados associados a esse recurso. Este modo também permite o RBAC azure granular. Os espaços de trabalho utilizam um modelo de registo de contexto de recursos onde cada registo emitido por um recurso Azure está automaticamente associado a este recurso.

Os registos só estão disponíveis em consultas de contexto de recursos se estiverem associados ao recurso relevante. Para verificar esta associação, faça uma consulta e verifique se a coluna _ResourceId está povoada.

Existem limitações conhecidas com os seguintes recursos:

Comparar modos de acesso

A tabela a seguir resume os modos de acesso:

Problema Workspace-context Resource-context
Para quem é destinado cada modelo? Administração central.
Administradores que precisam de configurar a recolha de dados e utilizadores que precisam de acesso a uma grande variedade de recursos. Também atualmente necessário para os utilizadores que precisam de aceder a registos de recursos fora do Azure.
Equipas de candidatura.
Administradores dos recursos da Azure a ser monitorizados. Permite-lhes concentrarem-se nos seus recursos sem filtrar.
O que um utilizador necessita para visualizar registos? Permissões para o espaço de trabalho.
Consulte "Permissões de espaço de trabalho" em Gerir o acesso utilizando permissões de espaço de trabalho.
Leia o acesso ao recurso.
Consulte "Permissões de recursos" em Gerir o acesso utilizando permissões Azure. As permissões podem ser herdadas do grupo de recursos ou subscrição ou diretamente atribuídas ao recurso. A permissão para os registos para o recurso será automaticamente atribuída. O utilizador não necessita de acesso ao espaço de trabalho.
Qual é o âmbito das permissões? Espaço de trabalho.
Os utilizadores com acesso ao espaço de trabalho podem consultar todos os registos no espaço de trabalho a partir de tabelas a que têm permissões. Consulte o controlo de acesso à mesa.
Recurso azul.
Os utilizadores podem consultar registos de recursos específicos, grupos de recursos ou subscrições a que tenham acesso em qualquer espaço de trabalho, mas não podem consultar registos de outros recursos.
Como pode um utilizador aceder a registos de acesso? No menu Azure Monitor , selecione Registares.

Selecione Registos dos espaços de trabalho do Log Analytics.

Dos livros do Azure Monitor.
Selecione Registos no menu para o recurso Azure. Os utilizadores terão acesso a dados para esse recurso.

Selecione Registos no menu Azure Monitor . Os utilizadores terão acesso aos dados para todos os recursos a que tenham acesso.

Selecione Registos dos espaços de trabalho do Log Analytics. Os utilizadores terão acesso aos dados para todos os recursos a que tenham acesso.

Dos livros do Azure Monitor.

Modo de controlo de acesso

O modo de controlo de acesso é uma definição em cada espaço de trabalho que define como as permissões são determinadas para o espaço de trabalho.

  • Requer permissões no espaço de trabalho. Este modo de controlo não permite o RBAC azure granular. Para aceder ao espaço de trabalho, o utilizador deve ter permissões para o espaço de trabalho ou para mesas específicas.

    Se um utilizador aceder ao espaço de trabalho no modo de contexto de espaço de trabalho, tem acesso a todos os dados em qualquer tabela a que tenha acesso. Se um utilizador aceder ao espaço de trabalho em modo de contexto de recursos, tem acesso a apenas dados para esse recurso em qualquer tabela a que tenha acesso.

    Esta definição é o padrão para todos os espaços de trabalho criados antes de março de 2019.

  • Utilize permissões de recursos ou espaço de trabalho. Este modo de controlo permite o RBAC azure granular. Os utilizadores podem ter acesso a apenas dados associados aos recursos que podem ver, atribuindo a permissão do Azure read .

    Quando um utilizador acede ao espaço de trabalho no modo de contexto de espaço de trabalho, aplicam-se permissões de espaço de trabalho. Quando um utilizador acede ao espaço de trabalho no modo de contexto de recursos, apenas as permissões de recursos são verificadas e as permissões do espaço de trabalho são ignoradas. Ativar o Azure RBAC para um utilizador, retirando-os das permissões do espaço de trabalho e permitindo que as suas permissões de recursos sejam reconhecidas.

    Esta definição é o padrão para todos os espaços de trabalho criados após março de 2019.

    Nota

    Se um utilizador tiver apenas permissões de recursos para o espaço de trabalho, só pode aceder ao espaço de trabalho utilizando o modo de contexto de recursos, assumindo que o modo de acesso ao espaço de trabalho está definido para utilizar permissões de recursos ou espaço de trabalho.

Configurar o modo de controlo de acesso para um espaço de trabalho

Veja o atual modo de controlo do espaço de trabalho na página 'Vista Geral' para o espaço de trabalho no menu do espaço de trabalho Log Analytics .

Screenshot que mostra o modo de controlo de acesso ao espaço de trabalho.

Altere esta definição na página Propriedades do espaço de trabalho. Se não tiver permissões para configurar o espaço de trabalho, a alteração da definição é desativada.

Screenshot que mostra a alteração do modo de acesso ao espaço de trabalho.

RBAC do Azure

O acesso a um espaço de trabalho é gerido através da utilização do Azure RBAC. Para garantir o acesso ao espaço de trabalho do Log Analytics utilizando permissões Azure, siga os passos nas funções De Atribuir Azure para gerir o acesso aos seus recursos de subscrição Azure.

Permissões de áreas de trabalho

Cada espaço de trabalho pode ter várias contas associadas. Cada conta pode ter acesso a vários espaços de trabalho. A tabela que se segue lista as permissões do Azure para diferentes ações do espaço de trabalho:

Ação Permissões azure necessárias Notas
Mude o nível de preços. Microsoft.OperationalInsights/workspaces/*/write
Criar um espaço de trabalho no portal do Azure. Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/workspaces/*
Veja as propriedades básicas do espaço de trabalho e introduza o painel de trabalho no portal. Microsoft.OperationalInsights/workspaces/read
Consulta os registos utilizando qualquer interface. Microsoft.OperationalInsights/workspaces/query/read
Aceda a todos os tipos de registo utilizando consultas. Microsoft.OperationalInsights/workspaces/query/*/read
Aceda a uma mesa de registo específica. Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Leia as teclas do espaço de trabalho para permitir o envio de registos para este espaço de trabalho. Microsoft.OperationalInsights/workspaces/sharedKeys/action
Adicione e remova as soluções de monitorização. Microsoft.Resources/deployments/*
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Automation/*
Microsoft.Resources/deployments/*/write

Estas permissões têm de ser concedidas ao nível do grupo de recursos ou da subscrição.
Ver dados nos azulejos de backup e Site Recovery. Administrador/Coadministrador

Acede aos recursos utilizados utilizando o modelo clássico de implementação.

Funções incorporadas

Atribua os utilizadores a estas funções para lhes dar acesso em diferentes âmbitos:

  • Subscrição: Acesso a todos os espaços de trabalho na subscrição
  • Grupo de recursos: Acesso a todos os espaços de trabalho do grupo de recursos
  • Recurso: Acesso apenas ao espaço de trabalho especificado

Criar atribuições ao nível dos recursos (espaço de trabalho) para garantir um controlo preciso do acesso. Utilize funções personalizadas para criar funções com as permissões específicas necessárias.

Nota

Para adicionar e remover os utilizadores a uma função de utilizador, tem de ter Microsoft.Authorization/*/Delete e Microsoft.Authorization/*/Write permissão.

Leitor do Log Analytics

Os membros da função Log Analytics Reader podem visualizar todos os dados de monitorização e as definições de monitorização, incluindo a configuração de diagnósticos Azure em todos os recursos do Azure.

Os membros da função Leitor do Log Analytics podem:

  • Ver e pesquisar todos os dados de monitorização.
  • Ver e monitorizar as definições, incluindo ver a configuração dos diagnósticos do Azure em todos os recursos do Azure.

O papel do Leitor de Log Analytics inclui as seguintes ações do Azure:

Tipo Permissão Descrição
Ação */read Capacidade de visualizar todos os recursos Azure e configuração de recursos.
Inclui ver:
- Estado de extensão da máquina virtual.
- Configuração de diagnósticos Azure em recursos.
- Todas as propriedades e configurações de todos os recursos.

Para espaços de trabalho, permite permissões completas e ilimitadas para ler as definições do espaço de trabalho e os dados de consulta. Consulte mais opções granulares na lista anterior.
Ação Microsoft.Support/* Capacidade de abrir casos de apoio.
Ação Não Microsoft.OperationalInsights/workspaces/sharedKeys/read Impede a leitura da chave do espaço de trabalho necessária para utilizar a API de recolha de dados e instalar agentes. Isto impede o utilizador de adicionar novos recursos ao espaço de trabalho.
Ação Microsoft.OperationalInsights/workspaces/analytics/query/action Preterido.
Ação Microsoft.OperationalInsights/workspaces/search/action Preterido.

Contribuidor do Log Analytics

Os membros da função Contribuidor do Log Analytics podem:

  • Leia todos os dados de monitorização concedidos pela função Log Analytics Reader.
  • Editar as definições de monitorização dos recursos Azure, incluindo:
    • Adicionar a extensão VM aos VMs.
    • Configurar diagnósticos Azure em todos os recursos do Azure.
  • Criar e configurar contas de automação. A autorização deve ser concedida ao nível do grupo de recursos ou da subscrição.
  • Adicione e remova soluções de gestão. A autorização deve ser concedida ao nível do grupo de recursos ou da subscrição.
  • Leia as chaves da conta de armazenamento.
  • Configure a recolha de registos da Azure Storage.
  • Configurar regras de exportação de dados.
  • Fazer um trabalho de pesquisa.
  • Restaurar registos arquivados.

Aviso

Pode utilizar a permissão para adicionar uma extensão de máquina virtual a uma máquina virtual para obter controlo total sobre uma máquina virtual.

A função de Colaborador de Log Analytics inclui as seguintes ações do Azure:

Permissão Descrição
*/read Capacidade de visualizar todos os recursos Azure e configuração de recursos.

Inclui ver:
- Estado de extensão da máquina virtual.
- Configuração de diagnósticos Azure em recursos.
- Todas as propriedades e configurações de todos os recursos.

Para espaços de trabalho, permite permissões completas e ilimitadas para ler as definições do espaço de trabalho e os dados de consulta. Consulte mais opções granulares na lista anterior.
Microsoft.Automation/automationAccounts/* Capacidade de criar e configurar contas Automatização do Azure, incluindo adicionar e editar runbooks.
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.Compute/virtualMachines/extensions/*
Adicione, atualize e remova as extensões de máquinas virtuais, incluindo a extensão do Agente de Monitorização da Microsoft e o Agente OMS para a extensão Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/listKeys/action
Ver a chave da conta de armazenamento. É necessário configurar o Log Analytics para ler registos a partir de contas de Armazenamento Azure.
Microsoft.Insights/alertRules/* Adicione, atualize e remova as regras de alerta.
Microsoft.Insights/diagnosticSettings/* Adicione, atualize e remova as definições de diagnóstico nos recursos do Azure.
Microsoft.OperationalInsights/* Adicione, atualize e remova a configuração para os espaços de trabalho do Log Analytics. Para editar definições avançadas do espaço de trabalho, o utilizador precisa Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/* Adicione e remova soluções de gestão.
Microsoft.Resources/deployments/* Criar e eliminar as implementações. Necessário para adicionar e remover soluções, espaços de trabalho e contas de automação.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Criar e eliminar as implementações. Necessário para adicionar e remover soluções, espaços de trabalho e contas de automação.

Permissões de recursos

Quando os utilizadores consultam os registos a partir de um espaço de trabalho utilizando o acesso ao contexto de recursos, terão as seguintes permissões no recurso:

Permissão Descrição
Microsoft.Insights/logs/<tableName>/read

Exemplos:
Microsoft.Insights/logs/*/read
Microsoft.Insights/logs/Heartbeat/read
Capacidade de visualizar todos os dados de registo para o recurso
Microsoft.Insights/diagnosticSettings/write Capacidade de configurar a definição de diagnósticos para permitir a configuração de registos para este recurso

A /read permissão é geralmente concedida a partir de uma função que inclui */leitura ou* permissões, tais como as funções de Leitor incorporado e Contribuinte . Papéis personalizados que incluem ações específicas ou funções incorporadas dedicadas podem não incluir esta permissão.

Exemplos de funções personalizadas

Além de utilizar as funções incorporadas para um espaço de trabalho Log Analytics, pode criar funções personalizadas para atribuir mais permissões granulares. Aqui estão alguns exemplos comuns.

Conceder a um utilizador acesso ao registo de dados a partir dos seus recursos:

  • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursos.
  • Conceder aos utilizadores */read ou Microsoft.Insights/logs/*/read permissões aos seus recursos. Se já lhes foi atribuído o papel de Leitor de Log Analytics no espaço de trabalho, é suficiente.

Conceder a um utilizador acesso ao registo de dados dos seus recursos e configurar os seus recursos para enviar registos para o espaço de trabalho:

  • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursos.
  • Conceda aos utilizadores as seguintes permissões no espaço de trabalho: Microsoft.OperationalInsights/workspaces/read e Microsoft.OperationalInsights/workspaces/sharedKeys/action. Com estas permissões, os utilizadores não podem realizar nenhuma consulta ao nível do espaço de trabalho. Só podem enumerar o espaço de trabalho e usá-lo como destino para configurações de diagnóstico ou configuração de agente.
  • Conceda aos utilizadores as seguintes permissões aos seus recursos: Microsoft.Insights/logs/*/read e Microsoft.Insights/diagnosticSettings/write. Se já lhes for atribuída a função de Contribuinte Log Analytics , atribuída ao papel de Leitor ou autorizadas */read a este recurso, é suficiente.

Conceder a um utilizador acesso ao registo de dados a partir dos seus recursos sem ser capaz de ler eventos de segurança e enviar dados:

  • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursos.
  • Conceda aos utilizadores as seguintes permissões aos seus recursos: Microsoft.Insights/logs/*/read.
  • Adicione o seguinte NonAction para impedir os utilizadores de ler o tipo SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. O NonAction deve ter o mesmo papel personalizado que a ação que fornece a permissão de leitura (Microsoft.Insights/logs/*/read). Se o utilizador herdar a ação de leitura de outra função atribuída a este recurso ou ao grupo de subscrição ou recursos, poderá ler todos os tipos de registo. Este cenário também é verdadeiro se herdam */read o que existe, por exemplo, com o papel de Leitor ou Contribuinte.

Conceder a um utilizador acesso ao registo de dados a partir dos seus recursos e ler todos os Azure AD iniciar sessão e ler dados de registo de solução de Gestão de Atualização a partir do espaço de trabalho:

  • Configure o modo de controlo do acesso ao espaço de trabalho para utilizar permissões de espaço de trabalho ou recursos.
  • Conceda aos utilizadores as seguintes permissões no espaço de trabalho:
    • Microsoft.OperationalInsights/workspaces/read: Necessário para que o utilizador possa enumerar o espaço de trabalho e abrir o painel de trabalho no portal do Azure
    • Microsoft.OperationalInsights/workspaces/query/read: Obrigatório para cada utilizador que possa executar consultas
    • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Para ser capaz de ler Azure AD registos de login
    • Microsoft.OperationalInsights/workspaces/query/Update/read: Para ser capaz de ler registos de soluções de Gestão de Atualização
    • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Para ser capaz de ler registos de soluções de Gestão de Atualização
    • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Para ser capaz de ler registos de Gestão de Atualização
    • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Obrigado a utilizar soluções de Gestão de Atualização
    • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Obrigado a utilizar soluções de Gestão de Atualização
  • Conceder aos utilizadores as seguintes permissões aos seus recursos: */read, atribuídos à função Reader, ou Microsoft.Insights/logs/*/read

Azure RBAC de nível de mesa

Ao utilizar o Azure RBAC ao nível da tabela, pode definir mais controlo granular a dados num espaço de trabalho do Log Analytics, definindo tipos de dados específicos que são acessíveis apenas a um conjunto específico de utilizadores.

Implementar o controlo de acesso à mesa com funções personalizadas Azure para garantir o acesso a mesas específicas no espaço de trabalho. Estas funções são aplicadas em espaços de trabalho com modos de controlo de acesso ao espaço de trabalho ou ao contexto de recursos, independentemente do modo de acesso do utilizador.

Criar uma função personalizada com as seguintes ações para definir o acesso a uma determinada tabela:

  • Incluir a secção Ações da definição de função. Para subtrair o acesso das Ações permitidas, inclua-o na secção NotActions .
  • Utilize Microsoft.OperationalInsights/workspaces/query/* para especificar todas as tabelas.

Exemplos

Aqui estão exemplos de ações de papel personalizado para conceder e negar o acesso a tabelas específicas.

Conceder acesso às tabelas Heartbeat e AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Conceder acesso apenas à tabela SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Conceder acesso a todas as mesas, exceto a tabela SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Registos personalizados

Os registos personalizados são tabelas criadas a partir de fontes de dados, tais como registos de texto e a API do Retorno de Dados HTTP. A forma mais fácil de identificar o tipo de registo é verificando as tabelas listadas nos Registos Personalizados no esquema de registo.

Nota

As tabelas criadas pela API de ingestão de Logs ainda não suportam o RBAC de nível de mesa.

Não pode conceder acesso a tabelas de registos personalizadas individuais, mas pode conceder acesso a todos os registos personalizados. Para criar uma função com acesso a todas as tabelas de registo personalizados, crie um papel personalizado utilizando as seguintes ações:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Uma abordagem alternativa para gerir o acesso a registos personalizados é atribuí-los a um recurso Azure e gerir o acesso utilizando o controlo de acesso ao contexto de recursos. Inclua o ID do recurso especificando-o no cabeçalho x-ms-AzureResourceId quando os dados são ingeridos para Registar aNalítico através da API do Colecionador de Dados HTTP. O ID do recurso deve ser válido e ter regras de acesso aplicadas a ele. Depois de ingeridos os registos, são acessíveis aos utilizadores com acesso lido ao recurso.

Alguns registos personalizados vêm de fontes que não estão diretamente associadas a um recurso específico. Neste caso, crie um grupo de recursos para gerir o acesso a estes registos. O grupo de recursos não incorre em qualquer custo, mas dá-lhe um ID de recurso válido para controlar o acesso aos registos personalizados.

Por exemplo, se uma firewall específica estiver a enviar registos personalizados, crie um grupo de recursos chamado MyFireWallLogs. Certifique-se de que os pedidos da API contêm o ID de recursos do MyFireWallLogs. Os registos de registos de firewall são então acessíveis apenas a utilizadores a quem foi concedido acesso ao MyFireWallLogs ou aos utilizadores com acesso total ao espaço de trabalho.

Considerações

  • Se um utilizador tiver permissão de leitura global com as funções padrão reader ou contribuinte que incluem a ação */read , irá sobrepor-se ao controlo de acesso por tabela e dar-lhes acesso a todos os dados de registo.
  • Se um utilizador tiver acesso por tabela, mas sem outras permissões, pode aceder aos dados de registo da API, mas não a partir do portal do Azure. Para fornecer acesso a partir do portal do Azure, utilize o Log Analytics Reader como função base.
  • Os administradores e proprietários da subscrição terão acesso a todos os tipos de dados, independentemente de quaisquer outras definições de permissão.
  • Os proprietários do espaço de trabalho são tratados como qualquer outro utilizador para o controlo de acesso por mesa.
  • Atribuir funções a grupos de segurança em vez de utilizadores individuais para reduzir o número de atribuições. Esta prática também o ajudará a usar as ferramentas de gestão do grupo existentes para configurar e verificar o acesso.

Passos seguintes