Partilhar via

Consultas para a tabela AKSAuditAdmin

  • Artigo

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

Volume de eventos de auditoria do Kubernetes admin por nome de usuário

Exiba a contagem de eventos de auditoria do Kubernetes admin gerados a partir de um determinado nome de usuário para cada cluster AKS. Requer Configurações de Diagnóstico para usar a tabela de destino Específico do Recurso.

AKSAuditAdmin
| where ResponseStatus.code != 401  // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc

Eventos de auditoria do Admin Kubernetes para implantação

Consulta para eventos de auditoria do Kubernetes admin em implantações dentro do namespace padrão. Requer Configurações de Diagnóstico para usar a tabela de destino Específico do Recurso.

AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef