在现代企业中,安全性和访问控制变得越来越重要。Azure Privileged Identity Management (PIM) 提供了一种管理特权访问的方法,通过临时提升用户权限来减少潜在的安全风险。在本文中,我们将探讨如何使用 Azure Log Analytics 和 KQL(Kusto Query Language)来自动化监控和分析 PIM 激活和审批过程。
背景介绍
在使用 Azure PIM 时,每次角色激活都会生成多个日志事件,这些事件记录了请求、审批以及完成激活的过程。以下是这些事件的简要概述:
- Add member to role requested (PIM activation)- 用户请求激活角色。
- Add member to role approval requested (PIM activation)- 如果需要审批,会生成一个审批请求。
- Add member to role request approved (PIM activation)- 审批通过后生成的日志。
- Add member to role completed (PIM activation)- 角色激活完成。
这些事件的关联是通过CorrelationId来实现的,这使得我们可以通过查询日志来追踪整个激活流程。
实例分析
假设我们要查看最近30天内所有
