如何使用KQL和日志分析在Azure中查找上个月创建的所有资源的列表?

pexxcrt2  于 2023-08-07  发布在  其他
关注(0)|答案(1)|浏览(79)

我想获得上个月在我的Azure订阅中创建的所有新资源的列表,我一直试图通过日志分析获得它,但我遇到了问题,我需要确定在Azure中创建资源的具体操作。我不知道在AzureActivity表中应该使用OperationNameValue列中的哪个值。
当我在探索Azure监视器和日志分析时,我发现在创建资源时,OperationNameValue是“Microsoft.Resource/Deployments/Write”。这是要关注的正确OperationNameValue吗?因为当创建新的存储帐户时,我无法在日志中找到相同的内容。此外,在活动日志中,存在其中OperationNameValue为“MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE”的一些条目,并且在一些条目中其为“Microsoft.Resource/Deployments/Write”。这两者有什么区别?
我是Azure的新手,只有几个月的经验,所以我在这方面仍然有很多知识空白,但我真的需要尽快找到答案,所以任何见解或帮助都将不胜感激。
以下是我提出的查询,以供参考

AzureActivity
| where TimeGenerated between (startofday(ago(30d)) ..startofday(now()) )
|where OperationNameValue == "MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE"
| parse tolower(\_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/"
resourceGroup "/providers/" provider "/" resourceType "/" resourceName
|where ActivityStatusValue == "Success"
|project TimeGenerated,OperationNameValue,ActivityStatusValue,Caller,resourceName,ResourceGroup
|order by TimeGenerated desc

字符串

utugiqy6

utugiqy61#

在一些条目中,OperationNameValue是“MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE”,而在一些条目中是“Microsoft.Resource/Deployments/Write”。这两者有什么区别?
两者之间没有太大的区别。由于在查询Azure活动日志时少数操作区分大小写,它可能显示为"Microsoft.Resource/Deployments/Write"
我尝试了与您相同的查询,它检索了操作名称值为"MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE"的所有结果。

AzureActivity
|where OperationNameValue == "MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE"
| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/"
resourceGroup "/providers/" provider "/" resourceType "/" resourceName
|where ActivityStatusValue == "Success"
|project TimeGenerated,OperationNameValue,ActivityStatusValue,Caller,resourceName,ResourceGroup
|order by TimeGenerated desc

字符串
x1c 0d1x的数据
但是为了处理这种不一致的行为,您可以使用tolower()将操作名称更改为小写以进行比较,从而避免任何冲突。

AzureActivity
|where tolower(OperationNameValue) == "MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE"
| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/"
resourceGroup "/providers/" provider "/" resourceType "/" resourceName
|where ActivityStatusValue == "Success"
|project TimeGenerated,OperationNameValue,ActivityStatusValue,Caller,resourceName,ResourceGroup
|order by TimeGenerated desc


相关问题