Запросы к таблице AKSAuditAdmin
Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".
Объем событий аудита Kubernetes администратора на имя пользователя
Отображение количества событий аудита Kubernetes администратора, созданных из заданного имени пользователя для каждого кластера AKS. Требуется, чтобы параметры диагностики использовали таблицу назначения для конкретного ресурса.
AKSAuditAdmin
| where ResponseStatus.code != 401 // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc
События аудита Kubernetes администратора для развертывания
Запрос событий аудита Kubernetes администратора к развертываниям в пространстве имен по умолчанию. Требуется, чтобы параметры диагностики использовали таблицу назначения для конкретного ресурса.
AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef