Dela via


Frågor för AKSAuditAdmin-tabellen

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

Volymen av kubernetes-granskningshändelser för administratör per användarnamn

Visa antalet kubernetes-administratörsgranskningshändelser som genererats från ett angivet användarnamn för varje AKS-kluster. Kräver diagnostikinställningar för att använda den resursspecifika måltabellen.

AKSAuditAdmin
| where ResponseStatus.code != 401  // Exclude unauthorized responses
| summarize Count = count() by Username = tostring(User.username), ResourceId = _ResourceId
| sort by Count desc

Admin Kubernetes-granskningshändelser för distribution

Fråga efter administratörens Kubernetes-granskningshändelser mot distributioner i standardnamnområdet. Kräver diagnostikinställningar för att använda den resursspecifika måltabellen.

AKSAuditAdmin
| where ObjectRef.resource == "deployments"
| where ObjectRef.namespace == "default"
| where User.username != "system:serviceaccount:kube-system:deployment-controller" // Exclude updates from the kube controller for deployments
| limit 100
| project TimeGenerated, Verb, RequestUri, User, RequestObject, ObjectRef