Log Analytics çalışma alanlarına erişimi yönetme

Log Analytics çalışma alanında hangi verilere erişebileceğinizi belirleyen faktörler şunlardır:

• Çalışma alanının kendi ayarları.
• Çalışma alanına veri gönderen kaynaklara erişim izinleriniz.
• Çalışma alanına erişmek için kullanılan yöntem.

Bu makalede, Log Analytics çalışma alanında verilere erişimin nasıl yönetileceğini açıklar.

Genel Bakış

Erişebileceğiniz verileri tanımlayan faktörler aşağıdaki tabloda açıklanmıştır. Her faktör, sonraki bölümlerde daha ayrıntılı olarak açıklanmıştır.

Faktör	Tanım
Erişim modu	Çalışma alanına erişmek için kullanılan yöntem. Kullanılabilir verilerin kapsamını ve uygulanan erişim denetimi modunu tanımlar.
Erişim denetimi modu	çalışma alanında izinlerin çalışma alanında mı yoksa kaynak düzeyinde mi uygulanacağını tanımlayan ayar.
Azure rol tabanlı erişim denetimi (RBAC)	Çalışma alanına veri gönderen çalışma alanı veya kaynak için kişilere veya kullanıcı gruplarına uygulanan izinler. Erişiminiz olan verileri tanımlar.
Tablo düzeyinde Azure RBAC	Çalışma alanında erişebileceğiniz belirli veri türlerini tanımlayan isteğe bağlı izinler. Tüm erişim modları veya erişim denetimi modları için geçerli olabilir.

Erişim modu

Erişim modu, Log Analytics çalışma alanına nasıl eriştiğinizi ifade eder ve geçerli oturum sırasında erişebileceğiniz verileri tanımlar. Mod, Log Analytics'te seçtiğiniz kapsama göre belirlenir.

İki erişim modu vardır:

• Çalışma alanı bağlamı: İzniniz olan çalışma alanında tüm günlükleri görüntüleyebilirsiniz. Bu moddaki sorguların kapsamı, çalışma alanında erişiminiz olan tablolardaki tüm veriler olarak belirlenmiştir. Bu erişim modu, günlüklere kapsam olarak çalışma alanıyla erişildiğinde, örneğin Azure portalındaki Azure İzleyici menüsünde Günlükler'i seçtiğinizde kullanılır.
• Kaynak bağlamı: Belirli bir kaynak, kaynak grubu veya aboneliğin çalışma alanına eriştiğinizde(örneğin, Azure portalındaki bir kaynak menüsünden Günlükler'i seçtiğinizde), yalnızca erişiminiz olan tüm tablolardaki kaynakların günlüklerini görüntüleyebilirsiniz. Bu moddaki sorguların kapsamı yalnızca bu kaynakla ilişkili veriler olarak belirlenmiş. Bu mod ayrıntılı Azure RBAC'ye de olanak tanır. Çalışma alanları, bir Azure kaynağı tarafından yayılan her günlük kaydının otomatik olarak bu kaynakla ilişkilendirildiği bir kaynak bağlamı günlük modeli kullanır.

Kayıtlar yalnızca ilgili kaynakla ilişkiliyse kaynak bağlamı sorgularında kullanılabilir. Bu ilişkilendirmeyi denetlemek için bir sorgu çalıştırın ve _ResourceId sütununun doldurulduğunu doğrulayın.

Aşağıdaki kaynaklarla ilgili bilinen sınırlamalar vardır:

• Azure dışındaki bilgisayarlar: Kaynak bağlamı yalnızca sunucular için Azure Arc ile desteklenir.
• Uygulama Analizler: Yalnızca çalışma alanı tabanlı bir Uygulama Analizler kaynağı kullanılırken kaynak bağlamı için desteklenir.
• Azure Service Fabric

Erişim modlarını karşılaştırma

Aşağıdaki tabloda erişim modları özetlemektedir:

Sorun	Çalışma alanı bağlamı	Kaynak bağlamı
Her model kime yöneliktir?	Merkezi yönetim. Veri toplamayı yapılandırması gereken Yönetici istrator'lar ve çok çeşitli kaynaklara erişmesi gereken kullanıcılar. Ayrıca şu anda Azure dışındaki kaynaklar için günlüklere erişmesi gereken kullanıcılar için de gereklidir.	Uygulama ekipleri. İzlenen Azure kaynaklarının Yönetici. Filtreleme olmadan kaynaklarına odaklanmalarına olanak tanır.
Bir kullanıcı günlükleri görüntülemek için ne gerektirir?	Çalışma alanı izinleri. Çalışma alanı izinlerini kullanarak erişimi yönetme bölümünde "Çalışma alanı izinleri" bölümüne bakın.	Kaynağa okuma erişimi. Azure izinlerini kullanarak erişimi yönetme bölümünde "Kaynak izinleri" bölümüne bakın. İzinler kaynak grubundan veya abonelikten devralınabilir veya doğrudan kaynağa atanabilir. Kaynak için günlüklere izin otomatik olarak atanır. Kullanıcı çalışma alanına erişim gerektirmez.
İzinlerin kapsamı nedir?	Çalışma alanı. Çalışma alanına erişimi olan kullanıcılar, izinlerine sahip oldukları tablolardan çalışma alanında bulunan tüm günlükleri sorgulayabilir. Bkz. Tablo düzeyinde okuma erişimini ayarlama.	Azure kaynağı. Kullanıcılar herhangi bir çalışma alanında erişim sahibi oldukları belirli kaynaklar, kaynak grupları veya abonelikler için günlükleri sorgulayabilir, ancak diğer kaynaklar için günlükleri sorgulayamaz.
Kullanıcı günlüklere nasıl erişebilir?	Azure İzleyici menüsünde Günlükler'i seçin. Log Analytics çalışma alanlarından Günlükler'i seçin. Azure İzleyici çalışma kitaplarından.	Azure kaynağının menüsünde Günlükler'i seçin. Kullanıcılar bu kaynağın verilerine erişebilir. Azure İzleyici menüsünde Günlükler'i seçin. Kullanıcılar erişim sahibi oldukları tüm kaynakların verilerine erişebilir. Kullanıcıların çalışma alanına erişimi varsa Log Analytics çalışma alanlarından Günlükler'i seçin. Azure İzleyici çalışma kitaplarından.

Erişim denetimi modu

Erişim denetimi modu, her çalışma alanında çalışma alanı için izinlerin nasıl belirlendiğini tanımlayan bir ayardır.

• Çalışma alanı izinleri iste. Bu denetim modu ayrıntılı Azure RBAC'ye izin vermez. Çalışma alanına erişmek için kullanıcıya çalışma alanı veya belirli tablolar için izin verilmesi gerekir.

  Bir kullanıcı çalışma alanı bağlam modunda çalışma alanına erişirse, erişim izni verilen herhangi bir tablodaki tüm verilere erişebilir. Bir kullanıcı çalışma alanına kaynak bağlamı modunda erişirse, erişim izni verilen herhangi bir tablodaki yalnızca bu kaynakla ilgili verilere erişebilir.

  Bu ayar, Mart 2019'da oluşturulan tüm çalışma alanları için varsayılan ayardır.

• Kaynak veya çalışma alanı izinlerini kullanın. Bu denetim modu ayrıntılı Azure RBAC'ye izin verir. Kullanıcılara yalnızca Azure read izni atayarak görüntüleyebileceği kaynaklarla ilişkili verilere erişim izni verilebilir.

  Kullanıcı çalışma alanı bağlam modunda çalışma alanına eriştiğinde çalışma alanı izinleri uygulanır. Kullanıcı çalışma alanına kaynak bağlamı modunda eriştiğinde, yalnızca kaynak izinleri doğrulanır ve çalışma alanı izinleri yoksayılır. Çalışma alanı izinlerinden kaldırarak ve kaynak izinlerinin tanınmasına izin vererek bir kullanıcı için Azure RBAC'yi etkinleştirin.

  Bu ayar, Mart 2019'da oluşturulan tüm çalışma alanları için varsayılan ayardır.

  Dekont

  Bir kullanıcı yalnızca çalışma alanı için kaynak izinlerine sahipse, çalışma alanı erişim modunun Kaynak veya çalışma alanı izinlerini kullan olarak ayarlandığını varsayarak yalnızca kaynak bağlamı modunu kullanarak çalışma alanına erişebilir.

Çalışma alanı için erişim denetimi modunu yapılandırma

Azure portalı

Log Analytics çalışma alanı menüsünde çalışma alanının Genel Bakış sayfasında geçerli çalışma alanı erişim denetimi modunu görüntüleyin.

Çalışma alanının Özellikler sayfasında bu ayarı değiştirin. Çalışma alanını yapılandırma izinleriniz yoksa ayarın değiştirilmesi devre dışı bırakılır.

PowerShell

Abonelikteki tüm çalışma alanlarının erişim denetimi modunu görüntülemek için aşağıdaki komutu kullanın:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

Çıkış aşağıdakine benzemelidir:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

değeriFalse, çalışma alanının çalışma alanı bağlamı erişim moduyla yapılandırıldığı anlamına gelir. değeriTrue, çalışma alanının kaynak bağlamı erişim moduyla yapılandırıldığı anlamına gelir.

Dekont

Bir çalışma alanı Boole değeri olmadan döndürülürse ve boşsa, bu sonuç bir False değerin sonuçlarıyla da eşleşir.

Belirli bir çalışma alanının erişim denetimi modunu kaynak bağlamı iznine ayarlamak için aşağıdaki betiği kullanın:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Abonelikteki tüm çalışma alanları için erişim denetimi modunu kaynak bağlamı iznine ayarlamak için aşağıdaki betiği kullanın:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Resource Manager

Azure Resource Manager şablonunda erişim modunu yapılandırmak için çalışma alanında enableLogAccessUsingOnlyResourcePermissions özellik bayrağını aşağıdaki değerlerden birine ayarlayın:

• false: Çalışma alanını çalışma alanı bağlamı izinleri olarak ayarlayın. Bayrak ayarlı değilse bu ayar varsayılan ayardır.
• true: Çalışma alanını kaynak bağlamı izinlerine ayarlayın.

Azure RBAC

Çalışma alanına erişim, Azure RBAC kullanılarak yönetilir. Azure izinlerini kullanarak Log Analytics çalışma alanına erişim vermek için Azure abonelik kaynaklarınıza erişimi yönetmek için Azure rolleri atama bölümündeki adımları izleyin.

Çalışma alanı izinleri

Her çalışma alanının kendisiyle ilişkilendirilmiş birden çok hesabı olabilir. Her hesabın birden çok çalışma alanına erişimi olabilir. Aşağıdaki tabloda farklı çalışma alanı eylemleri için Azure izinleri listelanmaktadır:

Eylem	Gereken Azure izinleri	Notlar
Fiyatlandırma katmanını değiştirin.	Microsoft.OperationalInsights/workspaces/*/write
Azure portalında bir çalışma alanı oluşturun.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/workspaces/*
Çalışma alanı temel özelliklerini görüntüleyin ve portalda çalışma alanı bölmesine girin.	Microsoft.OperationalInsights/workspaces/read
Herhangi bir arabirimi kullanarak günlükleri sorgular.	Microsoft.OperationalInsights/workspaces/query/read
Sorguları kullanarak tüm günlük türlerine erişin.	Microsoft.OperationalInsights/workspaces/query/*/read
Belirli bir günlük tablosuna erişme - eski yöntem	Microsoft.OperationalInsights/workspaces/query/<table_name>/read
Bu çalışma alanına günlük göndermeye izin vermek için çalışma alanı anahtarlarını okuyun.	Microsoft.OperationalInsights/workspaces/sharedKeys/action
İzleme çözümleri ekleyin ve kaldırın.	Microsoft.Resources/deployments/* Microsoft.OperationalInsights/* Microsoft.OperationsManagement/* Microsoft.Automation/* Microsoft.Resources/deployments/*/write Bu izinlerin kaynak grubu veya abonelik düzeyinde verilmiş olması gerekir.
Yedekleme ve Site Recovery çözümü kutucuklarındaki verileri görüntüleyin.	Yönetici istrator/Ortak yönetici Klasik dağıtım modelini kullanarak dağıtılan kaynaklara erişir.
Bir arama işi çalıştırın.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/searchJobs/write
Arşivlenmiş tablodan verileri geri yükleyin.	Microsoft.OperationalInsights/workspaces/tables/write Microsoft.OperationalInsights/workspaces/restoreLogs/write

Yerleşik roller

Kullanıcıları farklı kapsamlarda erişim vermek için bu rollere atayın:

• Abonelik: Abonelikteki tüm çalışma alanlarına erişim
• Kaynak grubu: Kaynak grubundaki tüm çalışma alanlarına erişim
• Kaynak: Yalnızca belirtilen çalışma alanına erişim

Doğru erişim denetimi sağlamak için kaynak düzeyinde (çalışma alanı) atamalar oluşturun. Gereken özel izinlere sahip rolleri oluşturmak için özel rolleri kullanın.

Dekont

Kullanıcı rolüne kullanıcı eklemek ve kaldırmak için ve Microsoft.Authorization/*/Write izniniz olmalıdırMicrosoft.Authorization/*/Delete.

Log Analytics Okuyucusu

Log Analytics Okuyucusu rolünün üyeleri, tüm Azure kaynaklarında Azure tanılama yapılandırması dahil olmak üzere tüm izleme verilerini ve izleme ayarlarını görüntüleyebilir.

Log Analytics Okuyucusu rolünün üyeleri aşağıdakileri yapabilir:

• Tüm izleme verilerini görüntüleyin ve arayın.
• Tüm Azure kaynakları üzerinde Azure tanılama yapılandırmasını görüntüleme dahil olmak üzere, izleme ayarlarını görüntüleyin.

Log Analytics Okuyucusu rolü aşağıdaki Azure eylemlerini içerir:

Tür	İzin	Tanım
Eylem	*/read	Tüm Azure kaynaklarını ve kaynak yapılandırmasını görüntüleme olanağı. Aşağıdakileri görüntülemeyi içerir: - Sanal makine uzantısı durumu. - Kaynaklarda Azure tanılama yapılandırması. - Tüm kaynakların tüm özellikleri ve ayarları. Çalışma alanları için, çalışma alanı ayarlarını okumak ve verileri sorgulamak için tam kısıtlanmamış izinlere izin verir. Yukarıdaki listede daha ayrıntılı seçeneklere bakın.
Eylem	Microsoft.Support/*	Destek olaylarını açabilme.
Eylem Dışı	Microsoft.OperationalInsights/workspaces/sharedKeys/read	Veri toplama API'sini kullanmak ve aracıları yüklemek için gereken çalışma alanı anahtarının okunmasını engeller. Bu, kullanıcının çalışma alanına yeni kaynaklar eklemesini engeller.

Log Analytics Katkıda Bulunan

Log Analytics Katkıda Bulunan rolünün üyeleri aşağıdakileri yapabilir:

• Log Analytics Okuyucusu rolü tarafından verilen tüm izleme verilerini okuyun.
• Azure kaynakları için izleme ayarlarını düzenleyin, örneğin:
  • VM uzantısını VM'lere ekleme.
  • Tüm Azure kaynaklarında Azure tanılamasını yapılandırma.
• Otomasyon hesaplarını oluşturun ve yapılandırın. İzin, kaynak grubu veya abonelik düzeyinde verilmelidir.
• Yönetim çözümleri ekleyin ve kaldırın. İzin, kaynak grubu veya abonelik düzeyinde verilmelidir.
• Depolama hesabı anahtarlarını okuyun.
• Azure Depolama günlük koleksiyonunu yapılandırın.
• Veri dışarı aktarma kurallarını yapılandırın.
• Bir arama işi çalıştırın.
• Arşivlenmiş günlükleri geri yükleyin.

Uyarı

Bir sanal makine üzerinde tam denetim elde etmek için bir sanal makineye sanal makine uzantısı eklemek için bu izni kullanabilirsiniz.

Log Analytics Katkıda Bulunanı rolü aşağıdaki Azure eylemlerini içerir:

İzin	Tanım
*/read	Tüm Azure kaynaklarını ve kaynak yapılandırmasını görüntüleme olanağı. Aşağıdakileri görüntülemeyi içerir: - Sanal makine uzantısı durumu. - Kaynaklarda Azure tanılama yapılandırması. - Tüm kaynakların tüm özellikleri ve ayarları. Çalışma alanları için, çalışma alanı ayarlarını okumak ve verileri sorgulamak için tam kısıtlanmamış izinlere izin verir. Yukarıdaki listede daha ayrıntılı seçeneklere bakın.
Microsoft.Automation/automationAccounts/*	Runbook'ları ekleme ve düzenleme dahil olmak üzere Azure Otomasyonu hesapları oluşturma ve yapılandırma olanağı.
Microsoft.ClassicCompute/virtualMachines/extensions/* Microsoft.Compute/virtualMachines/extensions/*	Microsoft Monitoring Agent uzantısı ve Linux için OMS Aracısı uzantısı dahil olmak üzere sanal makine uzantılarını ekleyin, güncelleştirin ve kaldırın.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/listKeys/action	Depolama hesabı anahtarını görüntüleyin. Log Analytics'i Azure Depolama hesaplarından günlükleri okuyacak şekilde yapılandırmak için gereklidir.
Microsoft.Insights/alertRules/*	Uyarı kurallarını ekleyin, güncelleştirin ve kaldırın.
Microsoft.Insights/diagnosticSettings/*	Azure kaynaklarında tanılama ayarlarını ekleyin, güncelleştirin ve kaldırın.
Microsoft.OperationalInsights/*	Log Analytics çalışma alanları için yapılandırma ekleyin, güncelleştirin ve kaldırın. Çalışma alanı gelişmiş ayarlarını düzenlemek için kullanıcı tarafından gerekir Microsoft.OperationalInsights/workspaces/write.
Microsoft.OperationsManagement/*	Yönetim çözümleri ekleyin ve kaldırın.
Microsoft.Resources/deployments/*	Dağıtımları oluşturma ve silme. Çözümleri, çalışma alanlarını ve otomasyon hesaplarını eklemek ve kaldırmak için gereklidir.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*	Dağıtımları oluşturma ve silme. Çözümleri, çalışma alanlarını ve otomasyon hesaplarını eklemek ve kaldırmak için gereklidir.

Kaynak izinleri

Kaynak bağlamındaki bir çalışma alanından veri okumak veya çalışma alanına veri göndermek için kaynakta şu izinlere sahip olmanız gerekir:

İzin	Tanım
Microsoft.Insights/logs/*/read	Kaynak için tüm günlük verilerini görüntüleme olanağı
Microsoft.Insights/logs/<tableName>/read Örnek: Microsoft.Insights/logs/Heartbeat/read	Bu kaynak için belirli bir tabloyu görüntüleme olanağı - eski yöntem
Microsoft.Insights/diagnosticSettings/write	Bu kaynak için günlüklerin ayarlanmasına izin vermek için tanılama ayarını yapılandırma olanağı

İzin /read genellikle */read veya* yerleşik Okuyucu ve Katkıda Bulunan rolleri gibi izinleri içeren bir rolden verilir. Belirli eylemleri veya ayrılmış yerleşik rolleri içeren özel roller bu izni içermeyebilir.

Özel rol örnekleri

Log Analytics çalışma alanı için yerleşik rolleri kullanmaya ek olarak, daha ayrıntılı izinler atamak için özel roller oluşturabilirsiniz. Aşağıda bazı yaygın örnekler verilmiştir.

Örnek 1: Kullanıcıya kaynaklarından günlük verilerini okuma izni verme.

• Çalışma alanı veya kaynak izinlerini kullanmak için çalışma alanı erişim denetimi modunu yapılandırın.
• Kullanıcılara */read veya Microsoft.Insights/logs/*/read kaynaklarına yönelik izinler verin. Çalışma alanında Log Analytics Okuyucusu rolü zaten atanmışsa bu yeterlidir.

Örnek 2: Kullanıcıya kaynaklarından günlük verilerini okuma ve bir arama işi çalıştırma izni verme.

• Çalışma alanı veya kaynak izinlerini kullanmak için çalışma alanı erişim denetimi modunu yapılandırın.
• Kullanıcılara */read veya Microsoft.Insights/logs/*/read kaynaklarına yönelik izinler verin. Çalışma alanında Log Analytics Okuyucusu rolü zaten atanmışsa bu yeterlidir.
• Kullanıcılara çalışma alanında aşağıdaki izinleri verin:
  • Microsoft.OperationalInsights/workspaces/tables/write: Arama sonuçları tablosunu (_SRCH) oluşturabilmek için gereklidir.
  • Microsoft.OperationalInsights/workspaces/searchJobs/write: Arama işi işleminin yürütülmesine izin vermek için gereklidir.

Örnek 3: Kullanıcıya kaynaklarından günlük verilerini okuma izni verin ve günlükleri Log Analytics çalışma alanına gönderecek şekilde yapılandırın.

• Çalışma alanı veya kaynak izinlerini kullanmak için çalışma alanı erişim denetimi modunu yapılandırın.
• Kullanıcılara çalışma alanında aşağıdaki izinleri verin: Microsoft.OperationalInsights/workspaces/read ve Microsoft.OperationalInsights/workspaces/sharedKeys/action. Bu izinlerle, kullanıcılar çalışma alanı düzeyinde sorgu gerçekleştiremez. Yalnızca çalışma alanını numaralandırabilir ve tanılama ayarları veya aracı yapılandırması için hedef olarak kullanabilirler.
• Kullanıcılara kaynakları için aşağıdaki izinleri verin: Microsoft.Insights/logs/*/read ve Microsoft.Insights/diagnosticSettings/write. Kendilerine Log Analytics Katkıda Bulunanı rolü atanmışsa, Okuyucu rolü atanmışsa veya bu kaynak üzerinde izinler verilmişse */read bu yeterlidir.

Örnek 4: Kullanıcıya kaynaklarından günlük verilerini okuma izni verin, ancak günlükleri Log Analytics çalışma alanına gönderme veya güvenlik olaylarını okuma izni verme.

• Çalışma alanı veya kaynak izinlerini kullanmak için çalışma alanı erişim denetimi modunu yapılandırın.
• Kullanıcılara kaynakları için aşağıdaki izinleri verin: Microsoft.Insights/logs/*/read.
• Kullanıcıların SecurityEvent türünü okumasını engellemek için aşağıdaki NonAction değerini ekleyin: Microsoft.Insights/logs/SecurityEvent/read. NonAction, okuma izni (Microsoft.Insights/logs/*/read) sağlayan eylemle aynı özel rolde olmalıdır. Kullanıcı okuma eylemini bu kaynağa veya aboneliğe veya kaynak grubuna atanmış başka bir rolden devralırsa, tüm günlük türlerini okuyabilir. Bu senaryo, örneğin Okuyucu veya Katkıda Bulunan rolüyle var olan bir devralma */read durumunda da geçerlidir.

Örnek 5: Kullanıcıya kaynaklarından günlük verilerini ve Log Analytics çalışma alanında tüm Microsoft Entra oturum açma ve Güncelleştirme Yönetimi çözümü günlük verilerini okuma izni verin.

• Çalışma alanı veya kaynak izinlerini kullanmak için çalışma alanı erişim denetimi modunu yapılandırın.
• Kullanıcılara çalışma alanında aşağıdaki izinleri verin:
  • Microsoft.OperationalInsights/workspaces/read: Kullanıcının çalışma alanını numaralandırabilmesi ve Azure portalında çalışma alanı bölmesini açabilmesi için gereklidir
  • Microsoft.OperationalInsights/workspaces/query/read: Sorgu yürütebilen her kullanıcı için gereklidir
  • Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: Microsoft Entra oturum açma günlüklerini okuyabilmek için
  • Microsoft.OperationalInsights/workspaces/query/Update/read: Güncelleştirme Yönetimi çözüm günlüklerini okuyabilmek için
  • Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Güncelleştirme Yönetimi çözüm günlüklerini okuyabilmek için
  • Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read: Güncelleştirme Yönetimi günlüklerini okuyabilmek için
  • Microsoft.OperationalInsights/workspaces/query/Heartbeat/read: Güncelleştirme Yönetimi çözümlerini kullanabilmek için gereklidir
  • Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read: Güncelleştirme Yönetimi çözümlerini kullanabilmek için gereklidir
• Kullanıcılara kaynakları için aşağıdaki izinleri verin: */read, Okuyucu rolüne atanmış veya Microsoft.Insights/logs/*/read

Örnek 6: Kullanıcının arşivlenmiş günlükleri geri yüklemesini kısıtlayın.

• Çalışma alanı veya kaynak izinlerini kullanmak için çalışma alanı erişim denetimi modunu yapılandırın.
• Kullanıcıyı Log Analytics Katkıda Bulunanı rolüne atayın.
• Kullanıcıların arşivlenmiş günlükleri geri yüklemesini engellemek için aşağıdaki NonAction öğesini ekleyin: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Tablo düzeyinde okuma erişimini ayarlama

Tablo düzeyinde erişim ayarları, belirli kullanıcılara veya gruplara belirli tablolardaki veriler için salt okunur izin vermenizi sağlar. Tablo düzeyinde okuma erişimi olan kullanıcılar, hem çalışma alanında hem de kaynak bağlamında belirtilen tablolardan verileri okuyabilir.

Dekont

Tablo düzeyinde erişimi tanımlamak için burada açıklanan ve şu anda önizleme aşamasında olan yöntemini kullanmanızı öneririz. Alternatif olarak, özel günlük tablolarıyla ilgili bazı sınırlamaları olan tablo düzeyinde okuma erişimini ayarlamak için eski yöntemi kullanabilirsiniz. Önizleme sırasında, burada açıklanan önerilen yöntem Microsoft Sentinel Algılama Kuralları için geçerli değildir ve bu kurallar hedeflenenden daha fazla tabloya erişebilir. Yöntemlerden birini kullanmadan önce bkz . Tablo düzeyinde erişimle ilgili önemli noktalar ve sınırlamalar.

Tablo düzeyinde okuma erişimi vermek, kullanıcıya iki rol atamayı içerir:

• Çalışma alanı düzeyinde: Çalışma alanı ayrıntılarını okumak ve çalışma alanında sorgu çalıştırmak için sınırlı izinler sağlayan, ancak herhangi bir tablodaki verileri okumamaya yönelik özel bir rol.
• Tablo düzeyinde, kapsamı belirli bir tabloyla belirlenmiş bir Okuyucu rolü.

Bir kullanıcıya veya gruba Log Analytics çalışma alanı için sınırlı izinler vermek için:

1. Kullanıcıların çalışma alanı ayrıntılarını okumasına ve herhangi bir tablodaki verilere okuma erişimi sağlamadan çalışma alanında sorgu çalıştırmasına olanak sağlamak için çalışma alanı düzeyinde özel bir rol oluşturun:

   1. Çalışma alanınıza gidin ve Erişim denetimi (IAM)Roller'i> seçin.

   2. Okuyucu rolüne sağ tıklayın ve Kopyala'yı seçin.

      

      Bu, Özel rol oluştur ekranını açar.

   3. Ekranın Temel Bilgiler sekmesinde:

      1. Özel rol adı değeri girin ve isteğe bağlı olarak bir açıklama girin.
      2. Temel izinleri Sıfırdan başla olarak ayarlayın.

      

   4. JSON sekmesini >düzenle'yi seçin:

      1. "actions" bölümüne şu eylemleri ekleyin:

         "Microsoft.OperationalInsights/workspaces/read",
         "Microsoft.OperationalInsights/workspaces/query/read" 
         

      2. "not actions" bölümüne şunları ekleyin:

         "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
         

      

   5. Ekranın alt kısmındaki Gözden Geçirmeyi Kaydet>+ Oluştur'u ve ardından sonraki sayfada Oluştur'u seçin.

2. Özel rolünüzü ilgili kullanıcıya atayın:

   1. Erişim denetimi (AIM)>Rol ataması ekle'yi>seçin.

      

   2. Oluşturduğunuz özel rolü seçin ve İleri'yi seçin.

      

      Bu, Özel rol ataması ekle ekranının Üyeler sekmesini açar.

   3. Üyeleri seç ekranını açmak için + Üyeleri seç'etıklayın.

      

   4. Bir kullanıcı arayıp seçin ve Seç'e tıklayın.

   5. Gözden geçir ve ata'yı seçin.

Kullanıcı artık çalışma alanı ayrıntılarını okuyabilir ve sorgu çalıştırabilir, ancak herhangi bir tablodaki verileri okuyamaz.

Kullanıcıya belirli bir tabloya okuma erişimi vermek için:

1. Log Analytics çalışma alanları menüsünde Tablolar'ı seçin.

2. Tablonuzun sağ tarafındaki üç noktayı ( ... ) seçin ve Erişim denetimi (IAM) seçeneğini belirleyin.

   

3. Erişim denetimi (IAM) ekranında Rol ataması ekle'yi>seçin.

4. Okuyucu rolünü seçin ve İleri'yi seçin.

5. Üyeleri seç ekranını açmak için + Üyeleri seç'etıklayın.

6. Kullanıcıyı arayıp seçin ve Seç'e tıklayın.

7. Gözden geçir ve ata'yı seçin.

Kullanıcı artık bu tablodaki verileri okuyabilir. Kullanıcıya gerektiğinde çalışma alanı içindeki diğer tablolara okuma erişimi verin.

Tablo düzeyinde okuma erişimini ayarlamanın eski yöntemi

Tablo düzeyindeki eski yöntem, çalışma alanında belirli kullanıcılara veya gruplara belirli tablolara erişim izni vermenizi sağlamak için Azure özel rollerini de kullanır. Azure özel rolleri, kullanıcının erişim modundan bağımsız olarak çalışma alanı bağlamı veya kaynak bağlamı erişim denetimi modlarına sahip çalışma alanları için geçerlidir.

Belirli bir tabloya erişimi tanımlamak için özel bir rol oluşturun:

• Rol tanımının Eylemler bölümünde kullanıcı izinlerini ayarlayın.
• Tüm tablolara erişim vermek için kullanın Microsoft.OperationalInsights/workspaces/query/* .
• Eylemler'de joker karakter kullandığınızda belirli tablolara erişimi dışlamak için rol tanımının NotActions bölümünde dışlanan tabloları listeleyin.

Burada, belirli tablolara erişim vermek ve reddetmek için özel rol eylemleri örnekleri verilmiştir.

Heartbeat ve AzureActivity tablolarına erişim izni verme:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Heartbeat/read",
    "Microsoft.OperationalInsights/workspaces/query/AzureActivity/read"
  ],

Yalnızca SecurityBaseline tablosuna erişim izni verin:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/SecurityBaseline/read"
],

SecurityAlert tablosu dışındaki tüm tablolara erişim izni verin:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/*/read"
],
"notActions":  [
    "Microsoft.OperationalInsights/workspaces/query/SecurityAlert/read"
],

Özel tablolarla ilgili eski yöntemin sınırlamaları

Özel tablolar, metin günlükleri ve HTTP Veri Toplayıcı API'si gibi veri kaynaklarından topladığınız verileri depolar. Tablo türünü tanımlamak için Log Analytics'te tablo bilgilerini görüntüleyin.

Tablo düzeyindeki eski erişim yöntemini kullanarak, tablo düzeyinde tek tek özel günlük tablolarına erişim izni veramazsınız, ancak tüm özel günlük tablolarına erişim vekleyebilirsiniz. Tüm özel günlük tablolarına erişimi olan bir rol oluşturmak için aşağıdaki eylemleri kullanarak özel bir rol oluşturun:

"Actions":  [
    "Microsoft.OperationalInsights/workspaces/read",
    "Microsoft.OperationalInsights/workspaces/query/read",
    "Microsoft.OperationalInsights/workspaces/query/Tables.Custom/read"
],

Tablo düzeyinde erişimle ilgili dikkat edilmesi gerekenler ve sınırlamalar

• Log Analytics kullanıcı arabiriminde, tablo düzeyine sahip kullanıcılar çalışma alanı içindeki tüm tabloların listesini görebilir, ancak yalnızca erişim sahibi oldukları tablolardan veri alabilir.
• */okuma eylemini içeren standart Okuyucu veya Katkıda Bulunan rolleri, tablo düzeyinde erişim denetimini geçersiz kılar ve kullanıcılara tüm günlük verilerine erişim verir.
• Tablo düzeyinde erişime sahip ancak çalışma alanı düzeyinde izinlere sahip olmayan bir kullanıcı günlük verilerine API'den erişemez ancak Azure portalından erişemez.
• aboneliğin Yönetici istrator'ları ve sahipleri, diğer izin ayarlarından bağımsız olarak tüm veri türlerine erişebilir.
• Çalışma alanı sahipleri, tablo başına erişim denetimi için diğer kullanıcılar gibi değerlendirilir.
• Atama sayısını azaltmak için tek tek kullanıcılar yerine güvenlik gruplarına roller atayın. Bu uygulama, erişimi yapılandırmak ve doğrulamak için mevcut grup yönetimi araçlarını kullanmanıza da yardımcı olur.

Sonraki adımlar

• Veri merkezinizdeki veya diğer bulut ortamınızdaki bilgisayarlardan veri toplamak için bkz . Log Analytics aracısına genel bakış .
• Azure VM'lerinden veri toplamayı yapılandırmak için bkz . Azure sanal makineleri hakkında veri toplama.