我正在尝试分析天蓝色密钥保管库的网络流量,并希望获取已访问此密钥保管库的 Vnet/子网的列表。
有办法做到这一点吗?
如果没有,有没有办法抓取访问过该资源的IP?然后我可以从那里倒退。
以下不喜欢“CallerIpAddress”
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where OperationName == "GetSecret" or OperationName == "SetSecret" or OperationName == "DeleteSecret"
| summarize by CallerIpAddress
'summarize' operator: Failed to resolve scalar expression named 'CallerIpAddress'
此外,这不必通过 KQL 来完成,如果有办法通过 CLI(PowerShell 或 Az)来完成此操作,我也非常乐意这样做。
谢谢
'summarize' operator: Failed to resolve scalar expression named 'CallerIpAddress'
OperationName == "GetSecret" or OperationName == "SetSecret" or OperationName == "DeleteSecret"
由于您传递无效的OperationNames来检查
KQL query
中的操作,以获取callerIP详细信息,正确的操作名称是:SecretGet,SecretSet和SecretDelete,请参阅MS DOC以获取详细信息。
注意:您无法获取访问 KeyVault 的 VNet/Subnet 名称列表,但只能获取 IP 地址 和 端点。
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| where OperationName == "VaultGet" or OperationName == "SecretGet" or OperationName == "SecretSet" or OperationName == "SecretDelete"
| project TimeGenerated,Resource, ResourceProvider,OperationName, requestUri_s, CallerIPAddress
输出: