Requêtes pour la table AKSAuditAdmin
Volume d’événements d’audit Kubernetes administrateur par nom d’utilisateur
Affiche le nombre d’événements d’audit Kubernetes d’administration générés à partir d’un nom d’utilisateur donné pour chaque cluster AKS. Nécessite que les paramètres de diagnostic utilisent la table de destination Spécifique à la ressource.
AKSAuditAdmin
| where ResponseStatus.code != 401 // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc
Administration événements d’audit Kubernetes pour le déploiement
Interrogez les événements d’audit Kubernetes administrateur sur les déploiements au sein de l’espace de noms par défaut. Nécessite que les paramètres de diagnostic utilisent la table de destination Spécifique à la ressource.
AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour