Snippets

Snippet KQL : repérer les erreurs d’authentification après rotation d’un secret

Une requête courte pour surveiller les 401, 403 et 500 après une rotation de secret ou d’identité applicative.

04 juin 2026 kqlidentitylogsmonitoringrunbookrollback

Après une rotation de secret, le signal utile n’est pas seulement le succès du déploiement. Il faut vérifier que les consommateurs réels ne génèrent pas d’erreurs d’authentification dans la fenêtre qui suit la bascule.

kusto auth-errors-after-secret-rotation.kql

let RotationStart = datetime(2026-06-04T08:00:00Z);
AppServiceHTTPLogs
| where TimeGenerated > RotationStart
| where ScStatus in (401, 403, 500)
| summarize errors=count() by bin(TimeGenerated, 5m), CsHost, CsUriStem, ScStatus
| order by TimeGenerated desc

À utiliser comme check de révocation : si les erreurs montent après la bascule, garde l’ancienne version disponible, identifie le consommateur en échec, puis rejoue le test avant suppression définitive.