Я следую этим инструкциям, чтобы получить журналы аудита AKS.
https://docs.microsoft.com/en-us/azure/aks/view-master-logs
я не могу найти некоторые основные поля, такие как этап, уровень, имя пользователя ..
как посмотреть "k8s audit" с полным журналом?
Вот пример запроса для начала. Он расширяет поле log_s и удаляет часть шума, чтобы попытаться дать только журналы, когда пользователь изменил ресурс в Kubernetes. Поля requestURI и requestObject предоставят вам наибольшую информацию о том, что делал пользователь.
AzureDiagnostics
| where Category == "kube-audit"
| extend log_j=parse_json(log_s)
| extend requestURI=log_j.requestURI
| extend verb=log_j.verb
| extend username=log_j.user.username
| extend requestObject = parse_json(log_j.requestObject)
| where verb !in ("get", "list", "watch", "")
| where username !in ("aksService", "masterclient", "nodeclient")
| where username !startswith "system:serviceaccount:kube-system"
| where requestURI startswith "/api/"
| where requestURI !startswith "/api/v1/nodes/"
| where requestURI !startswith "/api/v1/namespaces/kube-system/"
| where requestURI !startswith "/api/v1/namespaces/ingress-basic/"
