AKSAuditAdmin 表的查询
有关在 Azure 门户中使用这些查询的信息,请参阅 Log Analytics 教程。 有关 REST API,请参阅查询。
每个用户名的管理员 Kubernetes 审核事件量
显示从每个 AKS 群集的给定用户名生成的管理员 Kubernetes 审核事件数。 需要诊断设置才能使用特定于资源的目标表。
AKSAuditAdmin
| where ResponseStatus.code != 401 // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc
部署的管理员 Kubernetes 审核事件
针对默认命名空间中的部署查询管理员 Kubernetes 审核事件。 需要诊断设置才能使用特定于资源的目标表。
AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef