AZKVAuditLogs 表的查询

有关在 Azure 门户中使用这些查询的信息，请参阅 Log Analytics 教程。 有关 REST API，请参阅查询。

是否有故障？

按状态代码列出的失败密钥保管库请求计数。

AZKVAuditLogs
| where HttpStatusCode >= 300 and not(OperationName == "Authentication" and HttpStatusCode == 401)
| summarize count() by RequestUri, ResultSignature, _ResourceId

是否有慢速请求？

长于 1 秒的密钥保管库请求的列表。

let threshold=1000;
AZKVAuditLogs
| where DurationMs > threshold
| summarize count() by OperationName, _ResourceId

此 KeyVault 的活跃状态如何？

显示每个操作随时间推移的密钥保管库请求量趋势的折线图。

AZKVAuditLogs
| summarize count() by bin(TimeGenerated, 1h), OperationName // Aggregate by hour
| render timechart

此 KeyVault 处理请求的速度有多快？

显示使用不同聚合的随时间推移的请求持续时间趋势的折线图。

AZKVAuditLogs
| summarize avg(DurationMs) by RequestUri, bin(TimeGenerated, 1h) // requestUri_s contains the URI of the request
| render timechart

上个月发生了哪些更改？

列出过去 30 天内的所有更新和补丁请求。

AZKVAuditLogs
| where TimeGenerated > ago(30d)
| where OperationName == "VaultPut" or OperationName == "VaultPatch"
| sort by TimeGenerated desc

谁在调用此 KeyVault？

按调用方的 IP 地址及其请求计数识别的调用方列表。

AZKVAuditLogs
| summarize count() by CallerIpAddress