диагностика c авторизация azure для хранилища ключей

Question

У меня включены журналы диагностики c для хранилища ключей в azure. В хранилище ключей включен брандмауэр. Я пытаюсь выяснить, какой IP-адрес пытался получить доступ к хранилищу ключей с помощью журналов, я запускаю следующий запрос, который уже доступен в azure журналах.

// List of callers identified by their IP address with their request count.  
// KeyVault diagnostic currently stores logs in AzureDiagnostics table which stores logs for multiple services. 
// Filter on ResourceProvider for logs specific to a service.
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| summarize count() by CallerIPAddress, TimeGenerated

Приведенный выше запрос не показывает мне последний результаты, то есть последний результат, который он показывает мне, составляет 12 часов, в то время как этот kv постоянно используется. Кто-нибудь, пожалуйста, пролейте свет на это. спасибо.

Answer 1

Попробуйте это, чтобы убедиться, что последний результат находится наверху:

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| summarize count() by TimeGenerated, CallerIPAddress
| order by TimeGenerated desc

Вы можете попробовать эту демонстрацию здесь . Видимо из-за отсутствия сортировки.

Знаете ли вы, что если у нас есть несколько ключевых слов, указывающих на одну и ту же аналитику журнала, как мы можем выбирать между разными хранилищами ключей в запросе?

Добавьте _ResourceId, чтобы выбрать хранилище ключей вы хотите:

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT" and _ResourceId == "{your-keyvault-resoure-id}"
| summarize count() by TimeGenerated, CallerIPAddress
| order by TimeGenerated desc

суммировать по _ResourceId:

AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| summarize count() by TimeGenerated, CallerIPAddress, _ResourceId
| order by TimeGenerated desc