Consultas para la tabla AKSAuditAdmin

Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.

Volumen de eventos de auditoría de Kubernetes de administrador por nombre de usuario

Muestra el recuento de eventos de auditoría de Kubernetes de administrador generados a partir de un nombre de usuario determinado para cada clúster de AKS. Requiere configuración de diagnóstico para usar la tabla de destino específica del recurso.

AKSAuditAdmin
| where ResponseStatus.code != 401  // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc

Eventos de auditoría de Kubernetes de administración para la implementación

Consulte los eventos de auditoría de Kubernetes de administrador en las implementaciones dentro del espacio de nombres predeterminado. Requiere configuración de diagnóstico para usar la tabla de destino específica del recurso.

AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef