Abfragen für die Tabelle "AKSAuditAdmin"

Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".

Volumen der Kubernetes-Überwachungsereignisse pro Benutzername

Zeigt die Anzahl der Administrator-Kubernetes-Überwachungsereignisse an, die aus einem bestimmten Benutzernamen für jeden AKS-Cluster generiert wurden. Erfordert Diagnoseeinstellungen für die Verwendung der Zieltabelle "Ressource: spezifisch".

AKSAuditAdmin
| where ResponseStatus.code != 401  // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc

Administrator Kubernetes-Überwachungsereignisse für die Bereitstellung

Abfragen von Administrator-Kubernetes-Überwachungsereignissen für Bereitstellungen im Standardnamespace. Erfordert Diagnoseeinstellungen für die Verwendung der Zieltabelle "Ressource: spezifisch".

AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef