Управление доступом к рабочей области Log Analytics

Статья
2025-02-14

Факторы, определяющие, какие данные можно получить в рабочей области Log Analytics:

Параметры самой рабочей области.
Разрешения на доступ к ресурсам, отправляющим данные в рабочую область.
Способ, используемый для доступа к рабочей области.

В этой статье описывается управление доступом к данным в рабочей области Log Analytics.

Обзор

Факторы, определяющие доступ к данным, описаны в следующей таблице. Каждый из них подробно описан в разделах ниже.

Множитель	Description
Режим доступа	Способ, используемый для доступа к рабочей области. Определяет область, в пределах которой будут доступны данные, и применяемый режим управления доступом.
Режим управления доступом	Параметр рабочей области, который определяет, будут ли применяться разрешения на уровне рабочей области или на уровне ресурса.
Управление доступом на основе ролей в Azure (RBAC)	Разрешения, применяемые к отдельным пользователям или группам пользователей для рабочей области или ресурса, отправляющих данные в рабочую область. Определяют, к каким данным вы будете иметь доступ.
Azure RBAC на уровне таблиц	Необязательные разрешения, определяющие определенные типы данных в рабочей области, к которым вы можете получить доступ. Может применяться ко всем режимам доступа или режимам управления доступом.

Режим доступа

Режим доступа — это способ доступа к рабочей области Log Analytics. Он определяет данные, к которым вы можете получить доступ в текущем сеансе. Режим определяется в соответствии с областью, выбранной в Log Analytics.

Доступно два режима доступа:

В контексте рабочей области — просматривать можно все журналы в рабочей области, на доступ к которой у вас есть разрешение. Запросы в этом режиме ограничены всеми данными в таблицах, к которым у вас есть доступ к рабочей области. Этот режим доступа используется при обращении к журналам в пределах рабочей области — например, если выбрать пункт Журналы в меню Azure Monitor на портале Azure.
В контексте ресурсов. При доступе к определенному ресурсу, группе ресурсов или подписке в рабочей области — например, если выбрать пункт Журналы из меню ресурсов на портале Azure — можно просматривать журналы только тех ресурсов из всего множества таблиц, к которым у вас есть доступ. Область запросов в этом режиме ограничивается данными, которые связаны с этим ресурсом. В этом режиме поддерживается также Azure RBAC с детализацией. Рабочие области используют модель журнала контекста ресурсов, в которой каждая запись журнала, создаваемая ресурсом Azure, автоматически связывается с этим ресурсом.

Записи доступны только в запросах контекста ресурса, если они связаны с соответствующим ресурсом. Вы можете проверить эту связь, выполнив запрос и убедившись, что столбец _ResourceId заполнен.

Существуют известные ограничения для следующих ресурсов:

Компьютеры за пределами Azure: Контекст ресурсов поддерживается только с Azure Arc для серверов.
Application Insights: поддерживается только в контексте ресурсов, если используется ресурс Application Insights, основанный на рабочей области.
Azure Service Fabric

Сравнение режимов доступа

Сравнительные характеристики режимов доступа приведены в следующей таблице.

Проблема	В контексте рабочей среды	В контексте ресурса
Для кого предназначена модель?	Централизованное администрирование. Администраторы, которым требуется настроить сбор данных, и пользователи, которым необходим доступ к широкому кругу ресурсов. Кроме того, сейчас эта модель обязательна для пользователей, которым требуется доступ к журналам ресурсов, находящихся за пределами Azure.	Команды приложений. администраторы отслеживаемых ресурсов Azure. Позволяет им сосредоточиться на ресурсе без фильтрации.
Что требуется пользователю, чтобы просматривать журналы?	Разрешения для рабочей области. См. Разрешения рабочей области в статье "Управление доступом с помощью разрешений рабочей области".	Доступ для чтения к ресурсу. См. раздел "Разрешения ресурса" в Управление доступом с использованием разрешений Azure. Разрешения могут наследоваться от группы ресурсов или подписки либо напрямую назначаться ресурсу. Разрешение на доступ к журналам для ресурса будет назначено автоматически. Пользователю не требуется доступ к рабочей области.
Какова область действия разрешений?	Рабочее пространство. Пользователи с доступом к рабочей области могут запрашивать все журналы в рабочей области из таблиц, на доступ к которым у них есть разрешения. См. раздел "Задать доступ для чтения на уровне таблицы".	Ресурс Azure. Пользователи могут запрашивать журналы конкретных ресурсов, групп ресурсов или подписки, к которым у них есть доступ, в любой рабочей области, но не могут запрашивать журналы других ресурсов.
Как пользователь может получить доступ к журналам?	В меню Azure Monitor выберите Журналы. Выбрав пункт Журналы в разделе Рабочие области Log Analytics. Из рабочих книг Azure Monitor, когда для типа ресурса выбрана рабочая область Log Analytics.	Выберите Журналы в меню для ресурса Azure. Пользователь получит доступ к данным для этого ресурса. Выберите Журналы на меню Azure Monitor. Пользователь получит доступ к данным для всех ресурсов, к которым у пользователя есть доступ. Выберите журналы из рабочих областей Log Analytics, если у пользователей есть доступ к рабочим областям. Из рабочих тетрадей Azure Monitor, когда для типа ресурса выбран ресурс.

Режим управления доступом

Режим управления доступом — это параметр каждой рабочей области, который определяет, как в ней задаются разрешения.

Запросить разрешения на рабочую область. В этом режиме не поддерживается детальное управление доступом Azure RBAC. Чтобы пользователь получил доступ к рабочей области, пользователю должны быть предоставлены разрешения для рабочей области или конкретных таблиц.

Если пользователь обращается к рабочей области в контексте рабочей области, ему доступны все данные в любой таблице, к которой ему предоставлен доступ. Если пользователь обращается к рабочей области в контексте ресурсов, ему доступны только данные этого ресурса в любой таблице, к которой ему предоставлен доступ.

Этот параметр действует по умолчанию для всех рабочих областей, созданных до марта 2019 г.
Используйте права доступа к ресурсам или рабочим областям. В этом режиме поддерживается детализированное управление доступом с помощью Azure RBAC. Он позволяет ограничить доступ пользователей данными, связанными с ресурсами, которые им разрешено просматривать — для этого необходимо назначить разрешение read Azure.

Когда пользователь обращается к рабочей области в режиме контекста рабочей области, применяются разрешения для рабочей области. Когда пользователь обращается к рабочей области в контексте ресурсов, проверяются только разрешения для ресурсов, а разрешения для рабочей области игнорируются. Чтобы включить Azure RBAC для пользователя, удалите его из разрешений рабочей области и позвольте его разрешениям на ресурсы быть распознанными.

Этот параметр действует по умолчанию для всех рабочих областей, созданных после марта 2019 г.

Примечание.

Если у пользователя есть разрешения на доступ только к определенным ресурсам рабочей области, пользователь сможет обращаться к рабочей области только в контексте ресурсов (предполагая, что для рабочей области выбран режим доступа Использовать разрешения ресурса или рабочей области).

Настройка режима управления доступом для рабочей области

Просмотрите текущий режим управления доступом к рабочей области на странице Обзор рабочей области в меню Рабочая область Log Analytics.

Измените этот параметр на странице Свойства рабочей области. Изменение параметра будет отключено, если у вас нет разрешений на настройку рабочей области.

Используйте следующую команду, чтобы проверить режим управления доступом для всех рабочих областей в подписке:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {$_.Name + ": " + $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions}

Вывод должен иметь следующий вид:

DefaultWorkspace38917: True
DefaultWorkspace21532: False

Значение False означает, что рабочая область настроена с режимом доступа в контексте рабочей области. Значение True означает, что рабочая область настроена с режимом доступа в контексте ресурса.

Примечание.

Если рабочая область возвращается без логического значения и пуста, этот результат также соответствует результатам значения False.

Используйте следующий скрипт, чтобы установить режим управления доступом для конкретного рабочего пространства на разрешение resource-context:

$WSName = "my-workspace"
$Workspace = Get-AzResource -Name $WSName -ExpandProperties
if ($Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $Workspace.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $Workspace.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $Workspace.ResourceId -Properties $Workspace.Properties -Force

Используйте следующий скрипт, чтобы установить режим управления доступом для всех рабочих областей в подписке на разрешение контекста ресурса:

Get-AzResource -ResourceType Microsoft.OperationalInsights/workspaces -ExpandProperties | foreach {
if ($_.Properties.features.enableLogAccessUsingOnlyResourcePermissions -eq $null)
    { $_.Properties.features | Add-Member enableLogAccessUsingOnlyResourcePermissions $true -Force }
else
    { $_.Properties.features.enableLogAccessUsingOnlyResourcePermissions = $true }
Set-AzResource -ResourceId $_.ResourceId -Properties $_.Properties -Force
}

Azure RBAC

Управление доступом к рабочей области осуществляется с помощью Azure RBAC. Чтобы предоставить доступ к рабочей области Log Analytics с помощью разрешений Azure, следуйте указаниям в статье Назначение ролей Azure для управления доступом к ресурсам подписки Azure.

Разрешения рабочей области

Каждому рабочему пространству может быть назначено несколько учетных записей. Каждая учетная запись может иметь доступ к нескольким рабочим областям. В следующей таблице перечислены разрешения Azure для разных действий рабочей области.

Действие	Требуемые разрешения Azure	Примечания.
Изменение ценовой категории.	`Microsoft.OperationalInsights/workspaces/*/write`
Создание рабочей области на портале Azure	`Microsoft.Resources/deployments/` `Microsoft.OperationalInsights/workspaces/`
Просмотр основных свойств рабочей области и вход в область рабочей области на портале.	`Microsoft.OperationalInsights/workspaces/read`
Выполнение запросов к журналам с помощью любого интерфейса.	`Microsoft.OperationalInsights/workspaces/query/read`
Доступ ко всем типам журналов с помощью запросов.	`Microsoft.OperationalInsights/workspaces/query/*/read`
Доступ к определенной таблице журнала — устаревший метод	`Microsoft.OperationalInsights/workspaces/query/<table_name>/read`
Чтобы разрешить отправку журналов в эту рабочую область, прочтите ключи рабочей области.	`Microsoft.OperationalInsights/workspaces/sharedKeys/action`
Создание или обновление сводного правила	`Microsoft.Operationalinsights/workspaces/summarylogs/write`
Добавление и удаление решений для мониторинга.	`Microsoft.Resources/deployments/` `Microsoft.OperationalInsights/` `Microsoft.OperationsManagement/` `Microsoft.Automation/` `Microsoft.Resources/deployments/*/write` Эти разрешения нужно предоставить на уровне группы ресурсов или подписки.
Просмотр данных на плитках решений Backup и Site Recovery.	Администратор или соадминистратор Имеет доступ к ресурсам, развернутым с использованием классической модели развертывания.
Выполнение задания поиска.	`Microsoft.OperationalInsights/workspaces/tables/write` `Microsoft.OperationalInsights/workspaces/searchJobs/write`
Восстановление данных из долгосрочного хранения.	`Microsoft.OperationalInsights/workspaces/tables/write` `Microsoft.OperationalInsights/workspaces/restoreLogs/write`
Создание или изменение правила сводки	Microsoft.Operationalinsights/workspaces/summarylogs/write

Встроенные роли

Назначьте пользователям эти роли, чтобы предоставить им доступ в разных областях:

Подписка — доступ ко всем рабочим областям в подписке.
Группа ресурсов — доступ ко всем рабочим областям в группе ресурсов.
Ресурс — доступ к только указанной рабочей области.

Создайте назначения на уровне ресурсов (рабочей области), чтобы обеспечить точный контроль доступа. Используйте пользовательские роли для создания ролей с определенными разрешениями.

Примечание.

Чтобы добавить пользователей в роль или удалить их из нее, требуются разрешения Microsoft.Authorization/*/Delete и Microsoft.Authorization/*/Write.

Читатель Аналитики логов

Члены роли читателя Log Analytics могут просматривать все данные мониторинга и параметры мониторинга, включая конфигурацию диагностики Azure во всех ресурсах Azure. Позволяет членам просматривать все данные о ресурсах в назначенной области, включая:

просмотр и поиск всех данных мониторинга;
просмотр параметров мониторинга, в том числе просмотр конфигурации диагностики Azure на всех ресурсах Azure.

Роль читателя Log Analytics включает следующие действия Azure:

Тип	Разрешение	Описание
Действие	`*/read`	Возможность просматривать все ресурсы Azure и их конфигурацию. Включает просмотр следующих данных: — состояние расширения виртуальной машины; — конфигурация диагностики Azure на ресурсах; — все свойства и параметры всех ресурсов. Для рабочих областей это позволяет иметь полные неограниченные разрешения на чтение параметров рабочей области и запрашивание данных. Дополнительные детализированные параметры см. в предыдущем списке.
Действие	`Microsoft.Support/*`	Возможность создавать обращения в службу поддержки.
Не действие	`Microsoft.OperationalInsights/workspaces/sharedKeys/read`	Запрет на чтение ключа рабочей области, необходимого для использования API сбора данных и для установки агентов. Это предотвращает добавление новых ресурсов в рабочую область.

Участник Log Analytics

Члены роли Log Analytics Contributor могут:

Чтение всех данных мониторинга, доступных ролью Log Analytics Reader.
Изменение параметров мониторинга для ресурсов Azure, в том числе:
- добавление расширений ВМ к ВМ.
- настройка диагностики Azure на всех ресурсах Azure.
Создание и настройка учетных записей службы автоматизации. Разрешения нужно предоставить на уровне группы ресурсов или подписки.
Добавление и удаление решений для управления. Разрешения нужно предоставить на уровне группы ресурсов или подписки.
Чтение ключей учетной записи хранения.
Настройка сбора журналов из службы хранилища Azure.
Настройка правил экспорта данных.
Выполнение задания поиска.
Восстановление данных из долгосрочного хранения.

Предупреждение

Вы можете использовать разрешение, чтобы добавить расширение виртуальной машины на виртуальную машину и получить полный контроль над ней.

Роль участника Log Analytics включает следующие действия Azure:

Разрешение	Описание
`*/read`	Возможность просматривать все ресурсы Azure и их конфигурацию. Включает просмотр следующих данных: — состояние расширения виртуальной машины; — конфигурация диагностики Azure на ресурсах; — все свойства и параметры всех ресурсов. Для рабочих областей это позволяет иметь полные неограниченные разрешения на чтение параметров рабочей области и запрашивание данных. Дополнительные детализированные параметры см. в предыдущем списке.
`Microsoft.Automation/automationAccounts/*`	Возможность создания и настройки учетных записей службы автоматизации Azure, в том числе добавление и изменение модулей Runbook.
`Microsoft.ClassicCompute/virtualMachines/extensions/` `Microsoft.Compute/virtualMachines/extensions/`	Добавление, обновление и удаление расширений виртуальных машин, в том числе расширения Microsoft Monitoring Agent и агента OMS для расширения Linux.
`Microsoft.ClassicStorage/storageAccounts/listKeys/action` `Microsoft.Storage/storageAccounts/listKeys/action`	Просмотр ключа учетной записи хранения. Эта возможность необходима для настройки в Log Analytics чтения журналов из учетных записей хранения Azure.
`Microsoft.Insights/alertRules/*`	Добавление, обновление и удаление правил генерации оповещений.
`Microsoft.Insights/diagnosticSettings/*`	Добавление, обновление и удаление параметров диагностики для ресурсов Azure.
`Microsoft.OperationalInsights/*`	Добавление, обновление и удаление конфигурации рабочих областей Log Analytics. Для изменения дополнительных параметров рабочей области пользователю нужно `Microsoft.OperationalInsights/workspaces/write`.
`Microsoft.OperationsManagement/*`	Добавление и удаление решений для управления.
`Microsoft.Resources/deployments/*`	Создание и удаление развертываний. Требуется для добавления и удаления решений, рабочих областей и учетных записей службы автоматизации.
`Microsoft.Resources/subscriptions/resourcegroups/deployments/*`	Создавайте и удаляйте развертывания. Требуется для добавления и удаления решений, рабочих областей и учетных записей службы автоматизации.

Разрешения для ресурсов

Чтобы считывать данные из рабочей области или отправлять их в рабочую область в контексте ресурса, вам потребуются следующие разрешения на ресурс:

Разрешение	Описание
`Microsoft.Insights/logs/*/read`	Возможность просмотра всех журналов данных для ресурса.
`Microsoft.Insights/logs/<tableName>/read` Пример: `Microsoft.Insights/logs/Heartbeat/read`	Возможность просмотра конкретной таблицы для этого ресурса — устаревший метод
`Microsoft.Insights/diagnosticSettings/write`	Возможность настроить параметры диагностики для настройки журналов для этого ресурса.

Разрешение /read обычно предоставляется из роли, которая включает разрешения */read или*, такие как встроенные роли Ридер и Контрибьютора. Пользовательские роли, включающие в себя определенные действия или выделенные встроенные роли, могут не содержать это разрешение.

Примеры пользовательских ролей

Кроме использования встроенных ролей для рабочей области Log Analytics, вы можете создавать настраиваемые роли для назначения более точных разрешений. Ниже приведено несколько типичных примеров.

Пример 1. Предоставление пользователю разрешения на чтение данных журнала из своих ресурсов.

Настройка режима управления доступом к рабочей области для использования разрешений рабочей области или ресурса.
Предоставьте пользователям разрешения */read или Microsoft.Insights/logs/*/read на доступ к своим ресурсам. Если им уже назначена роль читателя Log Analytics в рабочей области, этого достаточно.

Пример 2. Предоставьте пользователю разрешение на чтение данных журнала из своих ресурсов и выполнение задания поиска.

Настройка режима управления доступом к рабочей области для использования разрешений рабочей области или ресурса.
Предоставьте пользователям разрешения */read или Microsoft.Insights/logs/*/read на доступ к своим ресурсам. Если им уже назначена роль читателя Log Analytics в рабочей области, этого достаточно.
Предоставьте пользователям следующие разрешения для рабочей области:
- Microsoft.OperationalInsights/workspaces/tables/write: требуется для создания таблицы результатов поиска (_SRCH).
- Microsoft.OperationalInsights/workspaces/searchJobs/write: требуется, чтобы разрешить выполнение операции задания поиска.

Пример 3. Предоставление пользователю разрешения на чтение данных журнала из своих ресурсов и настройка ресурсов для отправки журналов в рабочую область Log Analytics.

Настройка режима управления доступом к рабочей области для использования разрешений рабочей области или ресурса.
Предоставьте пользователям следующие разрешения в рабочей области: Microsoft.OperationalInsights/workspaces/read и Microsoft.OperationalInsights/workspaces/sharedKeys/action. С этими разрешениями пользователи не могут выполнять запросы на уровне рабочей области. Они могут перечислять только рабочую область и использовать ее в качестве места назначения для параметров диагностики или конфигурации агента.
Предоставьте пользователям следующие разрешения для своих ресурсов: Microsoft.Insights/logs/*/read и Microsoft.Insights/diagnosticSettings/write. Если им уже назначена роль участника Log Analytics, роль Читателя или предоставлены */read разрешения для этого ресурса, этого достаточно.

Пример 4. Предоставьте пользователю разрешение на чтение данных журнала из своих ресурсов, но не отправлять журналы в рабочую область Log Analytics или считывать события безопасности.

Настройка режима управления доступом к рабочей области для использования разрешений рабочей области или ресурса.
Предоставьте пользователям следующие разрешения для своих ресурсов: Microsoft.Insights/logs/*/read.
Добавьте следующий флаг NonAction, чтобы запретить пользователям чтение типа SecurityEvent: Microsoft.Insights/logs/SecurityEvent/read. NonAction должен быть в той же пользовательской роли, что и действие, предоставляющее разрешение на чтение (Microsoft.Insights/logs/*/read). Если пользователь наследует действие чтения от другой роли, назначенной этому ресурсу, подписке или группе ресурсов, он может читать все типы журналов. Этот сценарий также верен, если они наследуют существующий */read, например с ролью читателя или участника.

Пример 5. Предоставьте пользователю разрешение на чтение данных журнала из своих ресурсов и всех данных журнала входа Microsoft Entra и чтения данных журнала решения "Управление обновлениями" в рабочей области Log Analytics.

Настройка режима управления доступом к рабочей области для использования разрешений рабочей области или ресурса.
Предоставьте пользователям следующие разрешения для рабочей области:
- Microsoft.OperationalInsights/workspaces/read — требуется, чтобы пользователь мог выполнить перечисление рабочей области и открыть область рабочей области на портале Azure.
- Microsoft.OperationalInsights/workspaces/query/read — требуется для каждого пользователя, который может выполнять запросы.
- Microsoft.OperationalInsights/workspaces/query/SigninLogs/read: чтобы иметь возможность читать журналы входа в Microsoft Entra
- Microsoft.OperationalInsights/workspaces/query/Update/read — чтобы иметь возможность считывать журналы Управления обновлениями.
- Microsoft.OperationalInsights/workspaces/query/UpdateRunProgress/read: Для возможности анализа журналов решения по управлению обновлениями.
- Microsoft.OperationalInsights/workspaces/query/UpdateSummary/read — чтобы иметь возможность считывать журналы Управления обновлениями.
- Microsoft.OperationalInsights/workspaces/query/Heartbeat/read необходим для возможности использования решений управления обновлениями.
- Microsoft.OperationalInsights/workspaces/query/ComputerGroup/read требуется для того, чтобы иметь возможность использовать решения для управления обновлениями.
- Предоставьте пользователям следующие разрешения для своих ресурсов: */read, назначенные в роли Читателя, или Microsoft.Insights/logs/*/read.

Пример 6. Запретить пользователю восстановление данных из долгосрочного хранения.

Настройка режима управления доступом к рабочей области для использования разрешений рабочей области или ресурса.
Назначьте пользователя на роль участника Log Analytics.
Добавьте следующую команду NonAction, чтобы запретить пользователям восстанавливать данные из долгосрочного хранения: Microsoft.OperationalInsights/workspaces/restoreLogs/write

Настройка доступа на чтение на уровне таблицы

См. Управление доступом для чтения на уровне таблицы.

Следующие шаги

Сведения о сборе данных с компьютеров в центре обработки данных или в другой облачной среде см в статье об агенте Log Analytics.
Для настройки сбора данных на виртуальных машинах Azure см. сведения о сборе данных с Azure VMs.