Gerenciar o acesso aos espaços de trabalho do Log Analytics

Os fatores que determinam quais dados você pode acessar em um espaço de trabalho do Log Analytics são:

• As configurações no próprio espaço de trabalho.
• Suas permissões de acesso a recursos que enviam dados para o espaço de trabalho.
• O método usado para acessar o espaço de trabalho.

Este artigo descreve como gerenciar o acesso a dados em um espaço de trabalho do Log Analytics.

Descrição geral

Os fatores que definem os dados que você pode acessar são descritos na tabela a seguir. Cada fator é descrito mais detalhadamente nas seções a seguir.

Fator	Description
Modo de acesso	Método usado para acessar o espaço de trabalho. Define o escopo dos dados disponíveis e o modo de controle de acesso aplicado.
Modo de controlo de acesso	Configuração no espaço de trabalho que define se as permissões são aplicadas no espaço de trabalho ou no nível do recurso.
Controlo de acesso baseado em funções do Azure (RBAC)	Permissões aplicadas a indivíduos ou grupos de usuários para o espaço de trabalho ou recurso que envia dados para o espaço de trabalho. Define a quais dados você tem acesso.
RBAC do Azure em nível de tabela	Permissões opcionais que definem tipos de dados específicos no espaço de trabalho que você pode acessar. Pode ser aplicado a todos os modos de acesso ou modos de controle de acesso.

Modo de acesso

O modo de acesso refere-se a como você acessa um espaço de trabalho do Log Analytics e define os dados que você pode acessar durante a sessão atual. O modo é determinado de acordo com o escopo selecionado no Log Analytics.

Existem dois modos de acesso:

• Contexto do espaço de trabalho: você pode exibir todos os logs no espaço de trabalho para o qual você tem permissão. As consultas nesse modo têm como escopo todos os dados em tabelas às quais você tem acesso no espaço de trabalho. Esse modo de acesso é usado quando os logs são acessados com o espaço de trabalho como escopo, como quando você seleciona Logs no menu Azure Monitor no portal do Azure.
• Contexto de recursos: quando você acessa o espaço de trabalho para um determinado recurso, grupo de recursos ou assinatura, como quando seleciona Logs em um menu de recursos no portal do Azure, pode exibir logs apenas para recursos em todas as tabelas às quais você tem acesso. As consultas nesse modo têm como escopo apenas os dados associados a esse recurso. Esse modo também habilita o RBAC granular do Azure. Os espaços de trabalho usam um modelo de log de contexto de recurso em que cada registro de log emitido por um recurso do Azure é automaticamente associado a esse recurso.

Os registros só estarão disponíveis em consultas de contexto de recurso se estiverem associados ao recurso relevante. Para verificar essa associação, execute uma consulta e verifique se a coluna _ResourceId está preenchida.

Existem limitações conhecidas com os seguintes recursos:

• Computadores fora do Azure: o contexto de recursos só é suportado com o Azure Arc para servidores.
• Application Insights: suportado para contexto de recursos somente ao usar um recurso do Application Insights baseado em espaço de trabalho.
• Azure Service Fabric

Comparar modos de acesso

A tabela a seguir resume os modos de acesso:

Problema	Workspace-context	Resource-context
A quem se destina cada modelo?	Administração central. Administradores que precisam configurar a coleta de dados e usuários que precisam acessar uma ampla variedade de recursos. Também atualmente necessário para usuários que precisam acessar logs para recursos fora do Azure.	Equipas de aplicação. Administradores de recursos do Azure que estão sendo monitorados. Permite que eles se concentrem em seus recursos sem filtrar.
O que um usuário precisa para visualizar logs?	Permissões para o espaço de trabalho. Consulte "Permissões de espaço de trabalho" em Gerenciar acesso usando permissões de espaço de trabalho.	Acesso de leitura ao recurso. Consulte "Permissões de recursos" em Gerenciar acesso usando permissões do Azure. As permissões podem ser herdadas do grupo de recursos ou da assinatura ou atribuídas diretamente ao recurso. A permissão para os logs do recurso será atribuída automaticamente. O usuário não precisa de acesso ao espaço de trabalho.
Qual é o âmbito das permissões?	Espaço de trabalho. Os usuários com acesso ao espaço de trabalho podem consultar todos os logs no espaço de trabalho a partir de tabelas para as quais têm permissões. Consulte Definir acesso de leitura no nível da tabela.	Recurso do Azure. Os usuários podem consultar logs para recursos específicos, grupos de recursos ou assinaturas aos quais tenham acesso em qualquer espaço de trabalho, mas não podem consultar logs para outros recursos.
Como um usuário pode acessar logs?	No menu Azure Monitor, selecione Logs. Selecione Logs nos espaços de trabalho do Log Analytics. Das pastas de trabalho do Azure Monitor.	Selecione Logs no menu do recurso do Azure. Os usuários terão acesso aos dados desse recurso. Selecione Logs no menu Azure Monitor . Os utilizadores terão acesso aos dados de todos os recursos a que tenham acesso. Selecione Logs nos espaços de trabalho do Log Analytics, se os usuários tiverem acesso ao espaço de trabalho. Das pastas de trabalho do Azure Monitor.

Modo de controlo de acesso

O modo de controle de acesso é uma configuração em cada espaço de trabalho que define como as permissões são determinadas para o espaço de trabalho.

• Exigir permissões de espaço de trabalho. Este modo de controlo não permite o RBAC granular do Azure. Para acessar o espaço de trabalho, o usuário deve receber permissões para o espaço de trabalho ou para tabelas específicas.

  Se um usuário acessar o espaço de trabalho no modo de contexto do espaço de trabalho, ele terá acesso a todos os dados em qualquer tabela à qual tenha sido concedido acesso. Se um usuário acessar o espaço de trabalho no modo de contexto de recurso, ele terá acesso apenas aos dados desse recurso em qualquer tabela à qual tenha recebido acesso.

  Essa configuração é o padrão para todos os espaços de trabalho criados antes de março de 2019.

• Use permissões de recursos ou espaços de trabalho. Esse modo de controle permite o RBAC granular do Azure. Os usuários podem ter acesso apenas aos dados associados aos recursos que podem exibir atribuindo a permissão do Azure read .

  Quando um usuário acessa o espaço de trabalho no modo de contexto do espaço de trabalho, as permissões do espaço de trabalho se aplicam. Quando um usuário acessa o espaço de trabalho no modo de contexto de recurso, somente as permissões de recurso são verificadas e as permissões de espaço de trabalho são ignoradas. Habilite o RBAC do Azure para um usuário removendo-o das permissões de espaço de trabalho e permitindo que suas permissões de recurso sejam reconhecidas.

  Essa configuração é o padrão para todos os espaços de trabalho criados após março de 2019.

  Nota

  Se um usuário tiver apenas permissões de recurso para o espaço de trabalho, ele só poderá acessar o espaço de trabalho usando o modo de contexto de recurso, supondo que o modo de acesso ao espaço de trabalho esteja definido como Usar permissões de recurso ou espaço de trabalho.

Configurar o modo de controle de acesso para um espaço de trabalho

Portal do Azure

Exiba o modo de controle de acesso do espaço de trabalho atual na página Visão geral do espaço de trabalho no menu do espaço de trabalho do Log Analytics.

Altere essa configuração na página Propriedades do espaço de trabalho. Se você não tiver permissões para configurar o espaço de trabalho, a alteração da configuração será desabilitada.

PowerShell

Use o seguinte comando para exibir o modo de controle de acesso para todos os espaços de trabalho na assinatura:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

A saída deve ser semelhante à seguinte:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Um valor de significa que o espaço de trabalho é configurado com o modo de acesso de contexto do espaço de False trabalho. Um valor de significa que o espaço de trabalho é configurado com o modo de acesso de contexto de True recurso.

Nota

Se um espaço de trabalho for retornado sem um valor booleano e estiver em branco, esse resultado também corresponderá aos resultados de um False valor.

Use o script a seguir para definir o modo de controle de acesso para um espaço de trabalho específico como permissão de contexto de recurso:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Use o script a seguir para definir o modo de controle de acesso para todos os espaços de trabalho na assinatura para permissão de contexto de recurso:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Para configurar o modo de acesso em um modelo do Azure Resource Manager, defina o sinalizador do recurso enableLogAccessUsingOnlyResourcePermissions no espaço de trabalho com um dos seguintes valores:

• false: defina o espaço de trabalho como permissões de contexto do espaço de trabalho. Essa configuração será o padrão se o sinalizador não estiver definido.
• true: defina o espaço de trabalho como permissões de contexto de recurso.

RBAC do Azure

O acesso a um espaço de trabalho é gerenciado usando o Azure RBAC. Para conceder acesso ao espaço de trabalho do Log Analytics usando permissões do Azure, siga as etapas em Atribuir funções do Azure para gerenciar o acesso aos recursos de assinatura do Azure.

Permissões de espaço de trabalho

Cada espaço de trabalho pode ter várias contas associadas a ele. Cada conta pode ter acesso a vários espaços de trabalho. A tabela a seguir lista as permissões do Azure para diferentes ações de espaço de trabalho:

Ação	Permissões do Azure necessárias	Notas
Altere o nível de preço.	Microsoft.OperationalInsights/workspaces/*/write
Crie um espaço de trabalho no portal do Azure.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Exiba as propriedades básicas do espaço de trabalho e insira o painel do espaço de trabalho no portal.	Microsoft.OperationalInsights/workspaces/read
Consultar logs usando qualquer interface.	Microsoft.OperationalInsights/workspaces/query/read
Acesse todos os tipos de log usando consultas.	Microsoft.OperationalInsights/workspaces/query/*/read
Acessar uma tabela de log específica - método herdado	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Leia as chaves do espaço de trabalho para permitir o envio de logs para este espaço de trabalho.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
Adicione e remova soluções de monitoramento.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Estas permissões têm de ser concedidas ao nível do grupo de recursos ou da subscrição.
Exiba dados nos blocos da solução Backup e Recuperação de Site.	Administrador/Coadministrador Acessa recursos implantados usando o modelo de implantação clássico.
Execute um trabalho de pesquisa.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Restaure dados da tabela arquivada.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Funções incorporadas

Atribua usuários a essas funções para dar-lhes acesso em escopos diferentes:

• Assinatura: acesso a todos os espaços de trabalho na assinatura
• Grupo de recursos: acesso a todos os espaços de trabalho no grupo de recursos
• Recurso: Acesso apenas ao espaço de trabalho especificado

Crie atribuições no nível do recurso (espaço de trabalho) para garantir um controle de acesso preciso. Utilize funções personalizadas para criar funções com as permissões específicas necessárias.

Nota

Para adicionar e remover usuários a uma função de usuário, você deve ter Microsoft.Authorization/*/Delete e Microsoft.Authorization/*/Write permissão.

Leitor do Log Analytics

Os membros da função Leitor do Log Analytics podem exibir todos os dados de monitoramento e configurações de monitoramento, incluindo a configuração do diagnóstico do Azure em todos os recursos do Azure.

Os membros da função Leitor do Log Analytics podem:

• Visualize e pesquise todos os dados de monitoramento.
• Ver e monitorizar as definições, incluindo ver a configuração dos diagnósticos do Azure em todos os recursos do Azure.

A função Leitor do Log Analytics inclui as seguintes ações do Azure:

Tipo	Permissão	Description
Ação	*/read	Capacidade de exibir todos os recursos do Azure e configuração de recursos. Inclui ver: - Status da extensão da máquina virtual. - Configuração do diagnóstico do Azure em recursos. - Todas as propriedades e configurações de todos os recursos. Para espaços de trabalho, permite permissões totais e irrestritas para ler as configurações do espaço de trabalho e consultar dados. Veja opções mais granulares na lista anterior.
Ação	Microsoft.Support/*	Capacidade de abrir casos de suporte.
Ação Não	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Impede a leitura da chave do espaço de trabalho necessária para usar a API de coleta de dados e instalar agentes. Isso impede que o usuário adicione novos recursos ao espaço de trabalho.

Contribuidor do Log Analytics

Os membros da função Contribuidor do Log Analytics podem:

• Leia todos os dados de monitoramento concedidos pela função Leitor do Log Analytics.
• Editar configurações de monitoramento para recursos do Azure, incluindo:
  • Adicionando a extensão VM a VMs.
  • Configurar o diagnóstico do Azure em todos os recursos do Azure.
• Crie e configure contas de automação. A permissão deve ser concedida no nível do grupo de recursos ou da assinatura.
• Adicione e remova soluções de gerenciamento. A permissão deve ser concedida no nível do grupo de recursos ou da assinatura.
• Leia as chaves da conta de armazenamento.
• Configure a coleção de logs do Armazenamento do Azure.
• Configure regras de exportação de dados.
• Execute um trabalho de pesquisa.
• Restaure logs arquivados.

Aviso

Você pode usar a permissão para adicionar uma extensão de máquina virtual a uma máquina virtual para obter controle total sobre uma máquina virtual.

A função de Colaborador do Log Analytics inclui as seguintes ações do Azure:

Permissão	Description
*/read	Capacidade de exibir todos os recursos do Azure e configuração de recursos. Inclui ver: - Status da extensão da máquina virtual. - Configuração do diagnóstico do Azure em recursos. - Todas as propriedades e configurações de todos os recursos. Para espaços de trabalho, permite permissões totais e irrestritas para ler as configurações do espaço de trabalho e consultar dados. Veja opções mais granulares na lista anterior.
Microsoft.Automation/automationAccounts/*	Capacidade de criar e configurar contas de Automação do Azure, incluindo adicionar e editar runbooks.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Adicione, atualize e remova extensões de máquina virtual, incluindo a extensão Microsoft Monitoring Agent e a extensão OMS Agent for Linux.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Ver a chave da conta de armazenamento. Necessário para configurar o Log Analytics para ler logs de contas de Armazenamento do Azure.
Microsoft.Insights/alertRules/*	Adicione, atualize e remova regras de alerta.
Microsoft.Insights/diagnosticSettings/*	Adicione, atualize e remova configurações de diagnóstico nos recursos do Azure.
Microsoft.OperationalInsights/*	Adicione, atualize e remova a configuração dos espaços de trabalho do Log Analytics. Para editar as configurações avançadas do espaço de trabalho, o usuário precisa do Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Adicione e remova soluções de gerenciamento.
Microsoft.Resources/deployments/*	Criar e eliminar as implementações. Necessário para adicionar e remover soluções, espaços de trabalho e contas de automação.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Criar e eliminar as implementações. Necessário para adicionar e remover soluções, espaços de trabalho e contas de automação.

Permissões de recursos

Para ler ou enviar dados para um espaço de trabalho no contexto do recurso, você precisa destas permissões no recurso:

Permissão	Description
Microsoft.Insights/logs/*/read	Capacidade de visualizar todos os dados de log para o recurso
Microsoft.Insights/logs/<tableName>/read Exemplo: Microsoft.Insights/logs/Heartbeat/read	Capacidade de exibir tabela específica para este recurso - método herdado
Microsoft.Insights/diagnosticSettings/write	Capacidade de definir a configuração de diagnóstico para permitir a configuração de logs para este recurso

A /read permissão geralmente é concedida a partir de uma função que inclui */leitura ou* permissões, como as funções internas de Leitor e Colaborador. As funções personalizadas que incluem ações específicas ou funções internas dedicadas podem não incluir essa permissão.

Exemplos de funções personalizadas

Além de usar as funções internas para um espaço de trabalho do Log Analytics, você pode criar funções personalizadas para atribuir permissões mais granulares. Aqui estão alguns exemplos comuns.

Exemplo 1: Conceder permissão a um usuário para ler dados de log de seus recursos.

• Configure o modo de controle de acesso do espaço de trabalho para usar permissões de espaço de trabalho ou recurso.
• Conceda usuários */read ou Microsoft.Insights/logs/*/read permissões aos seus recursos. Se já lhes tiver sido atribuída a função de Leitor do Log Analytics na área de trabalho, é suficiente.

Exemplo 2: Conceder permissão a um usuário para ler dados de log de seus recursos e executar um trabalho de pesquisa.

• Configure o modo de controle de acesso do espaço de trabalho para usar permissões de espaço de trabalho ou recurso.
• Conceda usuários */read ou Microsoft.Insights/logs/*/read permissões aos seus recursos. Se já lhes tiver sido atribuída a função de Leitor do Log Analytics na área de trabalho, é suficiente.
• Conceda aos usuários as seguintes permissões no espaço de trabalho:
  • Microsoft.OperationalInsights/workspaces/tables/write: Necessário para poder criar a tabela de resultados da pesquisa (_SRCH).
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: Necessário para permitir a execução da operação de procura de emprego.

Exemplo 3: Conceder permissão a um usuário para ler dados de log de seus recursos e configurar seus recursos para enviar logs para o espaço de trabalho do Log Analytics.

• Configure o modo de controle de acesso do espaço de trabalho para usar permissões de espaço de trabalho ou recurso.
• Conceda aos usuários as seguintes permissões no espaço de trabalho: Microsoft.OperationalInsights/workspaces/read e Microsoft.OperationalInsights/workspaces/sharedKeys/action. Com essas permissões, os usuários não podem executar consultas no nível do espaço de trabalho. Eles só podem enumerar o espaço de trabalho e usá-lo como um destino para definições de diagnóstico ou configuração de agente.
• Conceda aos usuários as seguintes permissões para seus recursos: Microsoft.Insights/logs/*/read e Microsoft.Insights/diagnosticSettings/write. Se já tiverem sido atribuídas a função de Colaborador do Log Analytics, a função de Leitor ou as permissões concedidas */read neste recurso, será suficiente.

Exemplo 4: Conceda a um usuário permissão para ler dados de log de seus recursos, mas não para enviar logs para o espaço de trabalho do Log Analytics ou ler eventos de segurança.

• Configure o modo de controle de acesso do espaço de trabalho para usar permissões de espaço de trabalho ou recurso.
• Conceda aos usuários as seguintes permissões para seus recursos: Microsoft.Insights/logs/*/read.
• Adicione o seguinte NonAction para impedir que os usuários leiam o tipo SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. A NonAction deve estar na mesma função personalizada que a ação que fornece a permissão de leitura (Microsoft.Insights/logs/*/read). Se o usuário herdar a ação de leitura de outra função atribuída a esse recurso ou à assinatura ou grupo de recursos, ele poderá ler todos os tipos de log. Esse cenário também é verdadeiro se eles herdarem */read o que existe, por exemplo, com a função de Leitor ou Colaborador.

Exemplo 5: Conceda a um usuário permissão para ler dados de log de seus recursos e todos os dados de log da solução Microsoft Entra e ler dados de log da solução Gerenciamento de Atualizações no espaço de trabalho do Log Analytics.

• Configure o modo de controle de acesso do espaço de trabalho para usar permissões de espaço de trabalho ou recurso.
• Conceda aos usuários as seguintes permissões no espaço de trabalho:
  • Microsoft.OperationalInsights/workspaces/read: Necessário para que o usuário possa enumerar o espaço de trabalho e abrir o painel do espaço de trabalho no portal do Azure
  • Microsoft.OperationalInsights/workspaces/query/read: Necessário para todos os usuários que podem executar consultas
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Para poder ler os logs de entrada do Microsoft Entra
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Para poder ler os logs da solução de Gerenciamento de Atualizações
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Para poder ler os logs da solução de Gerenciamento de Atualizações
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Para poder ler os logs do Gerenciamento de Atualizações
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Necessário para poder usar soluções de gerenciamento de atualizações
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Necessário para poder usar soluções de gerenciamento de atualizações
• Conceda aos usuários as seguintes permissões para seus recursos: */read, atribuídas à função Leitor ou Microsoft.Insights/logs/*/read

Exemplo 6: Impedir que um usuário restaure logs arquivados.

• Configure o modo de controle de acesso do espaço de trabalho para usar permissões de espaço de trabalho ou recurso.
• Atribua o usuário à função de Colaborador do Log Analytics .
• Adicione o seguinte NonAction para impedir que os usuários restaurem logs arquivados: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Definir acesso de leitura no nível da tabela

As configurações de acesso no nível da tabela permitem conceder a usuários ou grupos específicos permissão somente leitura para dados de determinadas tabelas. Os usuários com acesso de leitura no nível da tabela podem ler dados das tabelas especificadas no espaço de trabalho e no contexto do recurso.

Nota

Recomendamos o uso do método descrito aqui, que está atualmente em visualização, para definir o acesso em nível de tabela. Como alternativa, você pode usar o método herdado de definir o acesso de leitura no nível da tabela, que tem algumas limitações relacionadas a tabelas de log personalizadas. Durante a visualização, o método recomendado descrito aqui não se aplica às Regras de Deteção do Microsoft Sentinel, que podem ter acesso a mais tabelas do que o pretendido. Antes de usar qualquer um dos métodos, consulte Considerações e limitações de acesso no nível da tabela.

A concessão de acesso de leitura no nível da tabela envolve a atribuição de duas funções a um usuário:

• No nível do espaço de trabalho - uma função personalizada que fornece permissões limitadas para ler detalhes do espaço de trabalho e executar uma consulta no espaço de trabalho, mas não para ler dados de nenhuma tabela.
• No nível da tabela - uma função de leitor , com escopo para a tabela específica.

Para conceder a um usuário ou grupo permissões limitadas para o espaço de trabalho do Log Analytics:

1. Crie uma função personalizada no nível do espaço de trabalho para permitir que os usuários leiam os detalhes do espaço de trabalho e executem uma consulta no espaço de trabalho, sem fornecer acesso de leitura aos dados em nenhuma tabela:

   1. Navegue até o espaço de trabalho e selecione Controle de acesso (IAM)>Funções.

   2. Clique com o botão direito do mouse na função Leitor e selecione Clonar.

      

      Isso abre a tela Criar uma função personalizada.

   3. Na guia Noções básicas da tela:

      1. Insira um valor de nome de função personalizado e, opcionalmente, forneça uma descrição.
      2. Defina as permissões da Linha de Base como Iniciar do zero.

      

   4. Selecione a guia >JSON Editar:

      1. "actions" Na seção, adicione estas ações:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. "not actions" Na seção, adicione:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Selecione Guardar>Revisão + Criar na parte inferior do ecrã e, em seguida, Criar na página seguinte.

2. Atribua sua função personalizada ao usuário relevante:

   1. Selecione Controle de acesso (AIM)>Adicionar>atribuição de função.

      

   2. Selecione a função personalizada que você criou e selecione Avançar.

      

      Isso abre a guia Membros da tela Adicionar atribuição de função personalizada.

   3. Clique em + Selecionar membros para abrir a tela Selecionar membros.

      

   4. Procure e selecione um usuário e clique em Selecionar.

   5. Selecione Rever e atribuir.

O usuário agora pode ler detalhes do espaço de trabalho e executar uma consulta, mas não pode ler dados de nenhuma tabela.

Para conceder ao usuário acesso de leitura a uma tabela específica:

1. No menu Espaços de trabalho do Log Analytics, selecione Tabelas.

2. Selecione as reticências ( ... ) à direita da tabela e selecione Controle de acesso (IAM).

   

3. Na tela Controle de acesso (IAM), selecione Adicionar>atribuição de função.

4. Selecione a função Leitor e selecione Avançar.

5. Clique em + Selecionar membros para abrir a tela Selecionar membros.

6. Procure e selecione o usuário e clique em Selecionar.

7. Selecione Rever e atribuir.

O usuário agora pode ler dados desta tabela específica. Conceda ao usuário acesso de leitura a outras tabelas no espaço de trabalho, conforme necessário.

Método herdado de configuração do acesso de leitura no nível da tabela

O método herdado de nível de tabela também usa funções personalizadas do Azure para permitir que você conceda a usuários ou grupos específicos acesso a tabelas específicas no espaço de trabalho. As funções personalizadas do Azure aplicam-se a espaços de trabalho com modos de controle de acesso de contexto de espaço de trabalho ou de contexto de recurso, independentemente do modo de acesso do usuário.

Para definir o acesso a uma tabela específica, crie uma função personalizada:

• Defina as permissões de usuário na seção Ações da definição de função.
• Use Microsoft.OperationalInsights/workspaces/query/* para conceder acesso a todas as tabelas.
• Para excluir o acesso a tabelas específicas quando você usa um curinga em Ações, liste as tabelas excluídas na seção NotActions da definição de função.

Aqui estão exemplos de ações de função personalizadas para conceder e negar acesso a tabelas específicas.

Conceda acesso às tabelas Heartbeat e AzureActivity :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Conceda acesso apenas à tabela SecurityBaseline :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

Conceda acesso a todas as tabelas, exceto à tabela SecurityAlert :

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Limitações do método herdado relacionadas a tabelas personalizadas

As tabelas personalizadas armazenam dados coletados de fontes de dados, como logs de texto e a API do Coletor de Dados HTTP. Para identificar o tipo de tabela, exiba as informações da tabela no Log Analytics.

Usando o método herdado de acesso no nível da tabela, você não pode conceder acesso a tabelas de log personalizadas individuais no nível da tabela, mas pode conceder acesso a todas as tabelas de log personalizadas. Para criar uma função com acesso a todas as tabelas de log personalizadas, crie uma função personalizada usando as seguintes ações:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Considerações e limitações de acesso em nível de tabela

• Na interface do usuário do Log Analytics, os usuários com nível de tabela podem ver a lista de todas as tabelas no espaço de trabalho, mas só podem recuperar dados de tabelas às quais têm acesso.
• As funções padrão de Leitor ou Colaborador, que incluem a ação */leitura, substituem o controle de acesso no nível da tabela e dão aos usuários acesso a todos os dados de log.
• Um usuário com acesso no nível da tabela, mas sem permissões no nível do espaço de trabalho, pode acessar dados de log da API, mas não do portal do Azure.
• Os administradores e proprietários da subscrição têm acesso a todos os tipos de dados, independentemente de quaisquer outras definições de permissão.
• Os proprietários de espaços de trabalho são tratados como qualquer outro usuário para controle de acesso por tabela.
• Atribua funções a grupos de segurança em vez de usuários individuais para reduzir o número de atribuições. Essa prática também ajudará você a usar as ferramentas de gerenciamento de grupo existentes para configurar e verificar o acesso.

Próximos passos

• Consulte Visão geral do agente do Log Analytics para coletar dados de computadores em seu datacenter ou outro ambiente de nuvem.
• Consulte Coletar dados sobre máquinas virtuais do Azure para configurar a coleta de dados de VMs do Azure.