Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen
Azure DevOps Services
Hinweis
Die Überwachung befindet sich noch in der öffentlichen Vorschau.
Das Nachverfolgen von Aktivitäten in Ihrer Azure DevOps-Umgebung ist für Sicherheit und Compliance von entscheidender Bedeutung. Die Überwachung hilft Ihnen, diese Aktivitäten zu überwachen und zu protokollieren, was Transparenz und Rechenschaftspflicht bietet. In diesem Artikel werden die Überwachungsfeatures erläutert und erläutert, wie sie eingerichtet und effektiv verwendet werden können.
Wichtig
Die Überwachung ist nur für Organisationen mit Microsoft Entra ID verfügbar. Weitere Informationen finden Sie unter Verknüpfen Ihrer Organisation mit Microsoft Entra ID.
Überwachungsänderungen treten immer dann auf, wenn eine Benutzer- oder Dienstidentität innerhalb des organization den Status eines Artefakts bearbeitet. Ereignisse, die protokolliert werden können, umfassen:
- Berechtigungsänderungen
- Gelöschte Ressourcen
- Änderungen der Verzweigungsrichtlinie
- Protokollieren von Zugriff und Downloads
- Viele andere Arten von Änderungen
Diese Protokolle bieten einen umfassenden Überblick über Aktivitäten, die Ihnen helfen, die Sicherheit und Compliance Ihrer Azure DevOps-Organisation zu überwachen und zu verwalten.
Überwachungsereignisse werden 90 Tage lang gespeichert, bevor sie gelöscht werden. Um die Daten länger aufzubewahren, können Sie Überwachungsereignisse an einem externen Speicherort sichern.
Hinweis
Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Sie können jedoch einen Überwachungsdatenstrom aus einer Azure DevOps Services-Instanz mit einer lokalen oder cloudbasierten Instanz von Splunk verbinden. Stellen Sie sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Weitere Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.
Voraussetzungen
Die Überwachung ist für alle Azure DevOps Services-Organisationen standardmäßig deaktiviert. Stellen Sie sicher, dass nur autorisierte Mitarbeiter Zugriff auf vertrauliche Überwachungsinformationen haben.
Berechtigungen: Mitglied der Gruppe "Project Collection Administrators " (PCA). Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. Oder verfügen Sie über die folgenden Überwachungsberechtigungen pro Benutzer oder Gruppe:
- Verwalten von Überwachungsdatenströmen
- Anzeigen des Überwachungsprotokolls
PCAs können diese Berechtigungen allen Benutzern oder Gruppen zum Verwalten von Organisationsdatenströmen über Sicherheitsberechtigungen > für Organisationseinstellungen> erteilen. PCAs können auch die Berechtigung "Überwachungsdatenströme löschen" zuweisen.
Hinweis
Wenn das Feature "Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projektevorschau beschränken" für die Organisation aktiviert ist, können Benutzer in der Gruppe "Project-Bereichsbezogene Benutzer" die Überwachung nicht anzeigen und eingeschränkte Sichtbarkeit für Organisationseinstellungenseiten haben. Weitere Informationen und wichtige Sicherheitsdetails finden Sie unter Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Aktivieren und Deaktivieren der Überwachung
Melden Sie sich bei Ihrer Organisation an (
https://dev.azure.com/{yourorganization}
).Wählen Sie Organisationseinstellungen.
Wählen Sie unter dem Header Sicherheit die Option Richtlinien aus.
Schalten Sie die Schaltfläche "Überwachungsereignisse protokollieren" auf "EIN".
Die Überwachung ist für die Organisation aktiviert. Aktualisieren Sie die Seite, um anzuzeigen, dass die Überwachung in der Randleiste angezeigt wird. Überwachungsereignisse werden in Überwachungsprotokollen und über alle konfigurierten Überwachungsdatenströme angezeigt.
Wenn Sie überwachungsereignisse nicht mehr empfangen möchten, wechseln Sie zur Schaltfläche "Überwachung aktivieren" auf "AUS". Diese Aktion entfernt die Überwachungsseite von der Randleiste und macht die Seite "Überwachungsprotokolle" nicht verfügbar. Alle Überwachungsdatenströme beenden den Empfang von Ereignissen.
Zugriffsüberwachung
Melden Sie sich bei Ihrer Organisation an (
https://dev.azure.com/{yourorganization}
).Wählen Sie Organisationseinstellungen.
Wählen Sie Überwachung aus.
Wenn Überwachung in den Organisationseinstellungen nicht angezeigt wird, haben Sie keinen Zugriff zum Anzeigen von Überwachungsereignissen. Die Gruppe "Projektsammlungsadministratoren" kann anderen Benutzern und Gruppen Berechtigungen erteilen, damit sie die Überwachungsseiten anzeigen können. Wählen Sie hierzu Berechtigungen aus, und suchen Sie dann nach der Gruppe oder den Benutzern, auf die Bzw. die Überwachungszugriff gewährt werden soll.
Legen Sie Überwachungsprotokoll anzeigen auf zulassen fest, und wählen Sie dann Änderungen speichern aus.
Die Benutzer- oder Gruppenmitglieder haben Zugriff, um die Überwachungsereignisse Ihrer Organisation anzuzeigen.
Überprüfen des Überwachungsprotokolls
Die Seite Überwachung bietet einen einfachen Überblick über die Überwachungsereignisse, die für Ihre organization aufgezeichnet wurden. Sehen Sie sich die folgende Beschreibung der Informationen an, die auf der Überwachungsseite angezeigt werden:
Überwachungsereignisinformationen und -details
Information | Details |
---|---|
Akteur | Anzeigename der Person, die das Überwachungsereignis ausgelöst hat. |
IP | IP-Adresse der Person, die das Überwachungsereignis ausgelöst hat. |
Timestamp | Zeitpunkt, zu dem das ausgelöste Ereignis aufgetreten ist. Die Zeit wird Ihrer Zeitzone angepasst. |
Bereich | Produktbereich in Azure DevOps, in dem das Ereignis aufgetreten ist. |
Category | Beschreibung des Typs der Aktion, die aufgetreten ist (z. B. Ändern, Umbenennen, Erstellen, Löschen, Entfernen, Ausführen und Zugriffsereignis). |
Details | Kurze Beschreibung der Vorgänge während des Ereignisses. |
Jedes Überwachungsereignis zeichnet auch zusätzliche Informationen auf, die auf der Überwachungsseite zu sehen sind. Diese Informationen umfassen den Authentifizierungsmechanismus, eine Korrelations-ID zum Verknüpfen ähnlicher Ereignisse, den Benutzer-Agent und weitere Daten je nach Überwachungsereignistyp. Diese Informationen können nur durch den Export der Überwachungsereignisse über CSV oder JSON angezeigt werden.
ID & Korrelations-ID
Jedes Überwachungsereignis weist eindeutige Bezeichner auf, die als "und ID
CorrelationID
" bezeichnet werden. Die Korrelations-ID ist nützlich, um verwandte Überwachungsereignisse zu finden. Beispielsweise kann das Erstellen eines Projekts mehrere Dutzend Überwachungsereignisse generieren, die alle mit derselben Korrelations-ID verknüpft sind.
Wenn eine Überwachungsereignis-ID mit ihrer Korrelations-ID übereinstimmt, gibt sie an, dass das Überwachungsereignis das übergeordnete oder ursprüngliche Ereignis ist. Um nur ursprungsbezogene Ereignisse anzuzeigen, suchen Sie nach Ereignissen, bei denen der ID
Wert gleich ist Correlation ID
. Wenn Sie ein Ereignis und die zugehörigen Ereignisse untersuchen möchten, suchen Sie alle Ereignisse mit einer Korrelations-ID, die der ID des Ursprungsereignisses entspricht. Nicht alle Ereignisse weisen verwandte Ereignisse auf.
Massenereignisse
Einige Überwachungsereignisse, die als "Massenüberwachungsereignisse" bezeichnet werden, können mehrere Aktionen enthalten, die gleichzeitig ausgeführt wurden. Sie können diese Ereignisse durch das "Informationssymbol" ganz rechts neben dem Ereignis identifizieren. Informationen zum Anzeigen einzelner Details der Aktionen, die in Massenüberwachungsereignissen enthalten sind, finden Sie in den heruntergeladenen Überwachungsdaten.
Wenn Sie das Informationssymbol auswählen, werden weitere Details zum Überwachungsereignis angezeigt.
Während Sie die Überwachungsereignisse überprüfen, können Die Spalten "Kategorie" und "Bereich" Ihnen helfen, bestimmte Ereignistypen zu filtern und zu finden. In den folgenden Tabellen sind die Kategorien und Bereiche zusammen mit ihren Beschreibungen aufgeführt:
Liste der Ereignisse
Wir bemühen uns, neue Überwachungsereignisse monatlich hinzuzufügen. Wenn es ein Ereignis gibt, das Sie nachverfolgen möchten, das derzeit nicht verfügbar ist, teilen Sie Ihren Vorschlag mit uns in der Entwicklercommunity.
Eine umfassende Liste aller Ereignisse, die über das Überwachungsfeature ausgegeben werden können, finden Sie in der Überwachungsereignisseliste.
Hinweis
Möchten Sie herausfinden, in welchen Ereignisbereichen Ihre organization protokolle? Überprüfen Sie unbedingt die Überwachungsprotokollabfrage-API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions
, und ersetzen Sie {YOUR_ORGANIZATION} durch den Namen Ihrer organization. Diese API gibt eine Liste aller Überwachungsereignisse (oder Aktionen) zurück, die ihre organization ausgeben können.
Filtern des Überwachungsprotokolls nach Datum und Uhrzeit
In der aktuellen Überwachungsoberfläche können Sie Ereignisse nur nach Datums- oder Uhrzeitbereich filtern.
Um die sichtbaren Überwachungsereignisse einzugrenzen, wählen Sie den Zeitfilter aus.
Verwenden Sie die Filter, um einen beliebigen Zeitraum innerhalb der letzten 90 Tage auszuwählen und sie auf die Minute zu beschränken.
Wählen Sie "Anwenden" für die Zeitbereichsauswahl aus, um die Suche zu starten. Standardmäßig werden die obersten 200 Ergebnisse für diese Zeitauswahl zurückgegeben. Wenn weitere Ergebnisse vorliegen, können Sie nach unten scrollen, um weitere Einträge auf der Seite zu laden.
Exportieren von Überwachungsereignissen
Um eine detailliertere Suche nach den Überwachungsdaten durchzuführen oder Daten für mehr als 90 Tage zu speichern, exportieren Sie die vorhandenen Überwachungsereignisse. Sie können die exportierten Daten an einem anderen Speicherort oder Dienst speichern.
Um Überwachungsereignisse zu exportieren, wählen Sie die Schaltfläche "Herunterladen " aus. Sie können die Daten als CSV- oder JSON-Datei herunterladen.
Der Download enthält Ereignisse basierend auf dem zeitraum, den Sie im Filter auswählen. Wenn Sie z. B. einen Tag auswählen, erhalten Sie die Daten eines Tages. Um alle 90 Tage abzurufen, wählen Sie 90 Tage aus dem Zeitraumfilter aus, und starten Sie dann den Download.
Hinweis
Bei langfristiger Speicherung und Analyse Ihrer Überwachungsereignisse sollten Sie das Feature "Streaming überwachen" verwenden, um Ihre Ereignisse an ein SIEM-Tool (Security Information and Event Management) zu senden. Es wird empfohlen, die Überwachungsprotokolle für eine oberflächliche Datenanalyse zu exportieren.
- Um Daten außerhalb des Datums-/Uhrzeitbereichs zu filtern, laden Sie Protokolle als CSV-Dateien herunter, und importieren Sie sie in Microsoft Excel oder andere CSV-Parser, um die Spalten "Bereich" und "Kategorie" zu durchsuchen.
- Um größere Datasets zu analysieren, laden Sie exportierte Überwachungsereignisse mithilfe der Audit Streaming-Funktion in ein SIEM-Tool (Security Incident and Event Management) hoch. MIT SIEM-Tools können Sie mehr als 90 Tage Ereignisse aufbewahren, Suchvorgänge durchführen, Berichte generieren und Warnungen basierend auf Überwachungsereignissen konfigurieren.
Begrenzungen
Die folgenden Einschränkungen gelten für das, was überwacht werden kann:
- Änderungen der Microsoft Entra-Gruppenmitgliedschaft: Überwachungsprotokolle enthalten Updates für Azure DevOps-Gruppen und Gruppenmitgliedschaften, wenn ein Ereignisbereich ist
Groups
. Wenn Sie jedoch die Mitgliedschaft über Microsoft Entra-Gruppen verwalten, sind Ergänzungen und Entfernungen von Benutzern aus diesen Microsoft Entra-Gruppen nicht in diesen Protokollen enthalten. Überprüfen Sie die Microsoft Entra-Überwachungsprotokolle, um festzustellen, wann ein Benutzer oder eine Gruppe aus einer Microsoft Entra-Gruppe hinzugefügt oder daraus entfernt wurde. - Anmeldeereignisse: Azure DevOps verfolgt keine Anmeldeereignisse. Um Anmeldeereignisse bei Ihrer Microsoft Entra-ID zu überprüfen, zeigen Sie die Microsoft Entra-Überwachungsprotokolle an.
- Indirekte Benutzerzufügungen: In einigen Fällen können Benutzer indirekt zu Ihrer Organisation hinzugefügt und im Überwachungsprotokoll angezeigt werden, das von Azure DevOps Services hinzugefügt wurde. Wenn beispielsweise ein Benutzer einer Arbeitsaufgabe zugewiesen ist, wird er möglicherweise automatisch zur Organisation hinzugefügt. Während ein Überwachungsereignis für den hinzugefügten Benutzer generiert wird, gibt es kein entsprechendes Überwachungsereignis für die Arbeitsaufgabenzuweisung, die die Benutzerzugabe ausgelöst hat. Um diese Ereignisse zu verfolgen, sollten Sie die folgenden Aktionen in Betracht ziehen:
- Überprüfen Sie den Arbeitsaufgabenverlauf für die entsprechenden Zeitstempel, um festzustellen, ob dieser Benutzer Arbeitsaufgaben zugewiesen wurde.
- Überprüfen Sie das Überwachungsprotokoll auf alle verwandten Ereignisse, die möglicherweise Kontext bereitstellen.
Häufig gestellte Fragen
F: Was ist die Gruppe DirectoryServiceAddMember, und warum wird sie im Überwachungsprotokoll angezeigt?
A: Die DirectoryServiceAddMember
Gruppe hilft beim Verwalten der Mitgliedschaft in Ihrer Organisation. Viele System-, Benutzer- und Administrative Aktionen können sich auf die Mitgliedschaft in dieser Systemgruppe auswirken. Da diese Gruppe nur für interne Prozesse verwendet wird, können Sie Überwachungsprotokolleinträge ignorieren, die Mitgliedschaftsänderungen in dieser Gruppe erfassen.