Query per la tabella AKSAuditAdmin

  • Articolo

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Volume di eventi di controllo Kubernetes amministratore per nome utente

Visualizzare il numero di eventi di controllo kubernetes di amministratore generati da un determinato nome utente per ogni cluster del servizio Azure Kubernetes. Richiede impostazioni di diagnostica per usare la tabella di destinazione specifica della risorsa.

AKSAuditAdmin
| where ResponseStatus.code != 401  // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc

Eventi di controllo di Kubernetes amministratore per la distribuzione

Eseguire una query per gli eventi di controllo kubernetes di amministratore nelle distribuzioni all'interno dello spazio dei nomi predefinito. Richiede impostazioni di diagnostica per usare la tabella di destinazione specifica della risorsa.

AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef