我已经为 Azure Key Vault 设置了日志分析,并且可以通过此查询找到用户 IP。
AzureDiagnostics
| summarize count() by CallerIPAddress
但是我如何找到用户(使用用户名)完成的事件,包括查看的 secret / key ?
最佳答案
您可以传递正确的操作名称并获取结果
search *
| where Category=="AuditEvent" and OperationName == "SecretGet"
| order by TimeGenerated desc
关于Azure Key Vault 谁做了哪些审计,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66864665/