有关在 Azure 门户中使用这些查询的信息,请参阅 Log Analytics 教程。 有关 REST API,请参阅 查询。
前 10 个活动的 Kubernetes Pod
获取包含最多进程事件的前 10 个 Kubernetes Pod。
CloudProcessEvents
| summarize Count = count() by KubernetesNamespace, KubernetesPodName
| top 10 by Count
在容器中处理创建事件
进程创建事件按进程名称和容器映像分组。
CloudProcessEvents
| where ActionType has "ProcessCreated"
| summarize Count = count() by ProcessName, ContainerImageName
| order by Count desc
| limit 100
容器中的可疑命令
处理具有可能可疑命令的事件,如 curl、wget、bash 或 sh。
CloudProcessEvents
| where ProcessCommandLine has_any ("curl", "wget", "bash", "sh")
| project TimeGenerated, KubernetesNamespace, KubernetesPodName, ProcessName, ProcessCommandLine, AccountName
| limit 100