Requêtes pour la table AKSAuditAdmin

  • Article

Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.

Volume d’événements d’audit Kubernetes d’administrateur par nom d’utilisateur

Affichez le nombre d’événements d’audit Kubernetes d’administrateur générés à partir d’un nom d’utilisateur donné pour chaque cluster AKS. Nécessite des paramètres de diagnostic pour utiliser la table de destination spécifique à la ressource.

AKSAuditAdmin
| where ResponseStatus.code != 401  // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc

Événements d’audit Kubernetes administrateur pour le déploiement

Recherchez les événements d’audit Kubernetes d’administrateur sur les déploiements au sein de l’espace de noms par défaut. Nécessite des paramètres de diagnostic pour utiliser la table de destination spécifique à la ressource.

AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef