查看我的 Azure 审核日志,看到有人删除了一堆服务。 我在"发起者"下看到的是对象 ID (GUID)。 文档说这在 JSON 中也称为"调用方"。
调用方:根据可用性执行操作、UPN 声明或 SPN 声明的用户的电子邮件地址。
所以现在尝试了这些 AZ CLI 命令,但没有运气:
寻找用户
sdistefa@Azure:~$ az ad user show --upn-or-object-id 5e9a4129-c335-4dcb-84d0-488531e7b026
但得到:
Resource '5e9a4129-c335-4dcb-84d0-488531e7b026' does not exist or one of its queried reference-property objects are not present.
查找服务主体:
sdistefa@Azure:~$ az ad sp list --subscription 9350e6db-d02d-4db7-baee-76f9498dfd13 --spn 5e9a4129-c335-4dcb-84d0-488531e7b026
[]
我需要弄清楚如何查询 UPN 声明或服务主体声明......我想?
我切换到Powershell。 我查询自己以查看我的 ObjectId,然后尝试使用该命令以通过有效 ID 查找自己。 PS Azure:> Get-AzureADUser -ObjectId "sdistefa@itron.com">
ObjectId DisplayName UserPrincipalName UserType -------- ----------- ----------------- -------- f9f1560e-ecba-461d-a811-c0f923a7895a 迪斯蒂法诺,史蒂夫 sdistefa@itron.com 成员 天蓝色:/PS Azure:> Get-AzureADObjectByObjectId -objectid f9f1560e-ecba-461d-a811-c0f923a7895a
ObjectId DisplayName UserPrincipalName UserType -------- ----------- ----------------- -------- f9f1560e-ecba-461d-a811-c0f923a7895a 迪斯蒂法诺,史蒂夫 sdistefa@itron.com 成员
现在我尝试从活动日志中获取 ObjectId:它返回一个空白: 天蓝色:/PS Azure:> Get-AzureADObjectByObjectId -objectid 5e9a4129-c335-4dcb-84d0-488531e7b026 天蓝色:/PS Azure:>
使用命令将 ID 传递给 -spn 标志az ad sp list但是,该 spn 代表"服务主体名称",因为您在此处处理的是 ID,因此最好使用 az ad sp show 并使用-id标志:
az ad sp show --id 00000000-0000-0000-0000-000000000000
使用PowerShell,这就是我所做的:
$valid_email_regex = '^([w-.]+)@(([[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.)|(([w-]+.)+))([a-zA-Z]{2,4}|[0-9]{1,3})(]?)$'
if ($activityLogs.Caller -match $valid_email_regex) {
$resourceLogs["event_initiated_by"] = $activityLogs.Caller
}
else {
$resourceLogs["event_initiated_by"] = "{0} ({1})" -f (Get-AzADServicePrincipal -ObjectId $activityLogs.Caller).DisplayName, $activityLogs.Caller
}
如果它不是电子邮件,它是一个 ObjectId,所以我使用"Get-AzADServicePrincipal"来检索 DisplayName(实际上使用 ObjectId)。然后,我格式化结果以在显示名称之后的括号中添加 ObjectId。
因此,回复您的问题的主要命令是:
(Get-AzADServicePrincipal -ObjectId ***************).DisplayName