问题围绕 Azure Data Lake Storage,有一个用户一直在修改 ACL 文件夹中的权限,我们需要找到一种方法来知道是谁。我想做的是在 Azure 门户的“监视”>“日志”中的“存储帐户”部分中执行一些 kusto 查询(对于我认为可能有信息的 Azure 表)来查找用户更改,但无论我选择的时间范围如何根本没有提供任何数据
这是查询:
StorageBlobLogs
| where TimeGenerated >= ago(24h) // Filter logs from the last 24 hours (adjust as needed)
| where OperationName == "Set Blob Service Properties" and Type == "SetAcl" // Filter for permission modification events
| project TimeGenerated, CallerIpAddress, OperationName, ObjectKey, RequesterUpn, RequesterTenantId, UserAgentHeader
AzureActivity
| where Category == "AuditLogs" and ResourceProvider == "MICROSOFT.DATALAKESTORE" and TimeGenerated <= ago(24h) and OperationName == "Set Access Control"
| project TimeGenerated, Caller, CallerIpAddress, ResourceId, ResourceGroup, OperationName, Level, ActivityStatus, Authorization_d, Resource, CorrelationId
另一种想法是它可能有某种数据保留策略,这就是为什么什么都没有发生,如果是的话有人知道如何改变它?
如果有其他方法可以检查,甚至在有人更改 ACL 时收到通知,请告诉我
谢谢!