如何将 Log Analytics / Azure Monitor 挂接到角色分配中？

Posted 2023-03-25

【中文标题】如何将 Log Analytics / Azure Monitor 挂接到角色分配中？

【英文标题】：How to hook Log Analytics / Azure Monitor into role assignments?

【发布时间】：2021-07-29 06:36:18

【问题描述】：

有没有办法将 Log Analytics 或 Azure Monitor 挂接到角色分配中，以便捕获新用户/服务主体/组何时添加到租户内任何资源的角色？

我正在寻找将警报绑定到的日志。对于用户/sp/组及其应用的资源，具有人类可读的DisplayName 的东西。

示例：

Bob Smith 被分配了 Contributor 角色给资源组 rgabc 中的存储帐户 stg123

【问题讨论】：

你试过Get-AzLog -StartTime (Get-Date).AddDays(-7) | Where-Object $_.Authorization.Action -like 'Microsoft.Authorization/roleAssignments/*'

docs.microsoft.com/en-us/azure/role-based-accs-escontrol/…

有用的链接，谢谢（尽管您的链接中有错字，它是 404 的）我能够更改 URL 并找到您的意图。特别是this section

@ericOnline 请允许我在下面总结您的讨论，以便在他们有类似要求时可以帮助其他人:)

【参考方案1】：

@Satya 提供的，azure 门户有activity logs，这是在 azure 中查询角色分配的最简单方法，正如上面@ericOnline 所说，azure monitor 也提供了类似的功能。

详情见：https://docs.microsoft.com/en-us/azure/role-based-access-control/change-history-report