AKSAuditAdmin テーブルのクエリ
Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。
ユーザー名あたりの管理者 Kubernetes 監査イベントの量
各 AKS クラスターの特定のユーザー名から生成された管理者 Kubernetes 監査イベントの数を表示します。 リソース固有の変換先テーブルを使用するには、診断設定が必要です。
AKSAuditAdmin
| where ResponseStatus.code != 401 // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc
デプロイの管理者 Kubernetes 監査イベント
既定の名前空間内のデプロイに対して管理者 Kubernetes 監査イベントのクエリを実行します。 リソース固有の変換先テーブルを使用するには、診断設定が必要です。
AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef