Из активного каталога Azure у меня включена рабочая область Log Analytics. Внутри я установил оповещение. Приведенный ниже запрос - это то, что я пытаюсь настроить. В основном предупреждение, соответствующее критериям, запускает функцию azure. У меня настроена аналитика журналов, предупреждения и функция.
Мои критерии следующие:
- Когда роль создается в субъекте службы (субъект службы является экземпляром приложения , например, есть мультитенантное приложение, и активный каталог является своего рода триггером).
Мне нужно изменить мой запрос ниже, чтобы он соответствовал критериям выше.
AuditLogs | где TimeGenerated> a go (1h) | где OperationName in («Удалить участника из группы», «Добавить участника в группу») | где TargetResources [0] .type == "Группа" | упорядочить по TimeGenerated desc | проект TimeGenerated, OperationName, ChildGroupId = TargetResources [0] .id, ChildGroupName = TargetResources [0] .displayName, SuperGroupId = replace (@ '"', @ '', tostring (TargetResources [0] .modifiedProperties [0] .newValue) ), SuperGroupName = replace (@ '"', @ '', tostring (TargetResources [0] .modifiedProperties [1] .newValue)), AADTenantId