AKSAudit テーブルのクエリ

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

SourceIp あたりの Kubernetes 監査イベントの量

各 AKS クラスターの特定のソース IP アドレスから生成された Kubernetes 監査イベントの数を表示します。 リソース固有の変換先テーブルを使用するには、診断設定が必要です。

AKSAudit
| where ResponseStatus.code != 401  // Exclude unauthorized responses
| mv-expand SourceIps               // Expand the list of SourceIp entries into individual rows
| summarize Count = count() by SourceIp = tostring(SourceIps), ResourceId = _ResourceId
| sort by Count desc