Microsoft Azure – 使用 KQL 检查 Azure 中的资源所有者
在本文中,我们将了解如何使用 Kusto 查询语言查找资源的创建日期。 Azure KQL 查询有助于查找资源创建日期、时间、创建的用户电子邮件等。
注意:如果使用 KQL 超过 90 天,您将无法检索日志数据。在这种情况下,将日志数据存储到存储帐户以获取超过 90 天的日志。
先决条件:
- 日志分析工作区
- 应为订阅和日志分析启用诊断日志。
用于检查资源所有者的 KQL 查询:
1. 查找在特定资源组中创建特定资源且活动状态为成功的人员。
AzureActivity
| where ResourceGroup == "Add_Resource_Group_Name" and Resource == "Add_Resource_Type"
| where ActivityStatus == "Succeeded"
| project ResourceGroup, Resource, CreatedBy = Caller, CreationTime = TimeGenerated此查询返回资源组的名称、资源名称、调用者(创建者)和创建时间。
样本输出:
2. 要查找在特定资源组中创建特定资源且活动状态由特定用户电子邮件 ID 成功创建的特定资源,请使用以下 KQL 查询:
AzureActivity
| where ResourceGroup == "Add_Resource_Group_Name" and Resource == "Add_Resource_Type"
| where ActivityStatus == "Succeeded"
| project ResourceGroup, Resource, CreatedBy = Caller, CreationTime = TimeGenerated
| where CreatedBy == "UserName@domain.com" 此查询返回资源组的名称、资源名称、调用者(特定用户)和创建时间。
样本输出:
3. 要查找使用服务主体创建的所有资源,请使用以下查询:
AzureActivity
| where ResourceGroup != "" and Resource != ""
| where ActivityStatus == "Succeeded"
| where Caller !has "@"
| project ResourceGroup, Resource, CreatedBy = Caller, CreationTime = TimeGenerated此查询返回资源组的名称、资源名称、调用者(放置服务主体名称)和创建时间。
样本输出:
