Auditlogboeken openen, exporteren en filteren

Azure DevOps Services

Notitie

Controle is nog steeds beschikbaar als openbare preview.

Het bijhouden van activiteiten binnen uw Azure DevOps-omgeving is van cruciaal belang voor beveiliging en naleving. Met controle kunt u deze activiteiten bewaken en vastleggen, waardoor transparantie en verantwoordelijkheid worden geboden. In dit artikel worden de controlefuncties uitgelegd en wordt uitgelegd hoe u deze instelt en effectief gebruikt.

Belangrijk

Controle is alleen beschikbaar voor organisaties die worden ondersteund door Microsoft Entra ID. Zie Uw organisatie verbinden met Microsoft Entra ID voor meer informatie.

Controlewijzigingen treden op wanneer een gebruiker of service-identiteit binnen de organisatie de status van een artefact bewerkt. Gebeurtenissen die kunnen worden geregistreerd, zijn onder andere:

• Wijzigingen in machtigingen
• Verwijderde resources
• Wijzigingen in vertakkingsbeleid
• Logboektoegang en downloads
• Veel andere typen wijzigingen

Deze logboeken bieden een uitgebreid overzicht van activiteiten, waarmee u de beveiliging en naleving van uw Azure DevOps-organisatie kunt bewaken en beheren.

Controlegebeurtenissen worden 90 dagen bewaard voordat ze worden verwijderd. Als u de gegevens langer wilt bewaren, kunt u een back-up maken van controlegebeurtenissen naar een externe locatie.

Notitie

Controle is niet beschikbaar voor on-premises implementaties van Azure DevOps Server. U kunt echter een controlestroom van een Azure DevOps Services-exemplaar verbinden met een on-premises of cloudexemplaren van Splunk. Zorg ervoor dat u IP-bereiken toestaat voor binnenkomende verbindingen. Zie Toegestane adreslijsten en netwerkverbindingen, IP-adressen en bereikbeperkingen voor meer informatie.

Vereisten

Controle is standaard uitgeschakeld voor alle Azure DevOps Services-organisaties. Zorg ervoor dat alleen geautoriseerd personeel toegang heeft tot gevoelige controlegegevens.

Machtigingen: lid zijn van de groep PcA -beheerders (Project Collection Administrators ). Eigenaren van organisaties zijn automatisch lid van deze groep. U kunt ook beschikken over de volgende controlemachtigingen per gebruiker of groep:

• Controlestromen beheren
• Auditlogboek weergeven

PCA's kunnen deze machtigingen verlenen aan gebruikers of groepen voor het beheren van organisatiestreams via beveiligingsmachtigingen> voor organisatie-instellingen>. PCA's kunnen ook de machtiging Controlestromen verwijderen toewijzen.

Notitie

Als de functie Zichtbaarheid en samenwerking van gebruikers beperken tot specifieke projecten preview is ingeschakeld voor de organisatie, kunnen gebruikers in de groep Gebruikers met projectbereik de controle niet bekijken en hebben beperkte zichtbaarheid op de pagina's met organisatie-instellingen. Zie De zichtbaarheid van gebruikers voor projecten en meer beperken voor meer informatie en belangrijke beveiligingsdetails.

Controle in- en uitschakelen

Voorbeeldpagina

1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

2. Selecteer Organisatie-instellingen.

3. Selecteer Beleid onder de kop Beveiliging .

4. Schakel de knop Auditgebeurtenissen voor logboeken in op AAN.

   

   Controle is ingeschakeld voor de organisatie. Vernieuw de pagina om controle weer te geven in de zijbalk. Controlegebeurtenissen worden weergegeven in controlelogboeken en via geconfigureerde auditstreams.

5. Als u controle-gebeurtenissen niet meer wilt ontvangen, schakelt u de knop Controle inschakelen naar UIT. Met deze actie wordt de pagina Controle uit de zijbalk verwijderd en is de pagina Controlelogboeken niet beschikbaar. Alle controlestromen stoppen met het ontvangen van gebeurtenissen.

Huidige pagina

1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

2. Selecteer Organisatie-instellingen.

3. Selecteer Beleid onder de kop Beveiliging .

4. Schakel de knop Auditgebeurtenissen voor logboeken in op AAN.

   

   Controle is ingeschakeld voor de organisatie. Vernieuw de pagina om controle weer te geven in de zijbalk. Controlegebeurtenissen worden weergegeven in controlelogboeken en via geconfigureerde auditstreams.

5. Als u controle-gebeurtenissen niet meer wilt ontvangen, schakelt u de knop Controle inschakelen naar UIT. Met deze actie wordt de pagina Controle uit de zijbalk verwijderd en is de pagina Controlelogboeken niet beschikbaar. Alle controlestromen stoppen met het ontvangen van gebeurtenissen.

Toegangscontrole

Voorbeeldpagina

1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

2. Selecteer Organisatie-instellingen.

   

3. Selecteer Controle.

   

4. Als u Controle niet ziet in organisatie-instellingen, hebt u geen toegang om controlegebeurtenissen weer te geven. De groep Beheerders van projectverzamelingen kan machtigingen verlenen aan andere gebruikers en groepen, zodat ze de controlepagina's kunnen bekijken. Hiervoor selecteert u Machtigingen en zoekt u de groep of gebruikers om controletoegang te verlenen.

   

5. Stel auditlogboek weergeven in om toe te staan en selecteer wijzigingen opslaan.

   

   De gebruikers- of groepsleden hebben toegang om de controlegebeurtenissen van uw organisatie weer te geven.

Huidige pagina

1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

2. Selecteer Organisatie-instellingen.

   

3. Selecteer Controle.

   

4. Als u Controle niet ziet in organisatie-instellingen, hebt u geen toegang om controlegebeurtenissen weer te geven. De groep Beheerders van projectverzamelingen kan machtigingen verlenen aan andere gebruikers en groepen, zodat ze de controlepagina's kunnen bekijken. Selecteer Beveiliging en zoek vervolgens de groep of gebruikers om controletoegang tot te bieden.

   

5. Stel auditlogboek weergeven in om toe te staan en selecteer wijzigingen opslaan.

   

   De gebruikers- of groepsleden hebben toegang om de controlegebeurtenissen van uw organisatie weer te geven.

Auditlogboek controleren

De controlepagina biedt een eenvoudig overzicht van de controlegebeurtenissen die zijn vastgelegd voor uw organisatie. Zie de volgende beschrijving van de informatie die zichtbaar is op de controlepagina:

Gebeurtenisgegevens en -details controleren

Gegevens	DETAILS
Acteur	Weergavenaam van de persoon die de controlegebeurtenis heeft geactiveerd.
IP	IP-adres van de persoon die de controlegebeurtenis heeft geactiveerd.
Tijdstempel	Tijdstip waarop de geactiveerde gebeurtenis is opgetreden. De tijd is gelokaliseerd naar uw tijdzone.
Gebied	Productgebied in Azure DevOps waar de gebeurtenis zich voordeed.
Categorie	Beschrijving van het type actie dat is opgetreden (bijvoorbeeld wijzigen, naam wijzigen, maken, verwijderen, verwijderen, uitvoeren en toegangsgebeurtenis).
DETAILS	Korte beschrijving van wat er zich tijdens de gebeurtenis voordeed.

Tijdens elke controlegebeurtenis wordt ook aanvullende informatie vastgelegd die kan worden weergegeven op de controlepagina. Deze informatie omvat het verificatiemechanisme, een correlatie-id om vergelijkbare gebeurtenissen aan elkaar te koppelen, gebruikersagent en meer gegevens, afhankelijk van het type controlegebeurtenis. Deze informatie kan alleen worden bekeken door de controlegebeurtenissen te exporteren naar CSV of JSON.

ID & correlatie-id

Elke controlegebeurtenis heeft unieke id's met de naam en ID CorrelationID. De correlatie-id is handig voor het vinden van gerelateerde controlegebeurtenissen. Het maken van een project kan bijvoorbeeld enkele tientallen controlegebeurtenissen genereren, die allemaal zijn gekoppeld met dezelfde correlatie-id.

Wanneer een controlegebeurtenis-id overeenkomt met de correlatie-id, geeft deze aan dat de controlegebeurtenis de bovenliggende of oorspronkelijke gebeurtenis is. Als u alleen oorspronkelijke gebeurtenissen wilt zien, zoekt u naar gebeurtenissen die gelijk zijn aan de ID Correlation ID. Als u een gebeurtenis en de bijbehorende gebeurtenissen wilt onderzoeken, zoekt u alle gebeurtenissen op met een correlatie-id die overeenkomt met de id van de oorspronkelijke gebeurtenis. Niet alle gebeurtenissen hebben gerelateerde gebeurtenissen.

Bulkgebeurtenissen

Sommige controlegebeurtenissen, ook wel 'bulkcontrolegebeurtenissen' genoemd, kunnen meerdere acties bevatten die tegelijkertijd plaatsvonden. U kunt deze gebeurtenissen identificeren via het pictogram Informatie uiterst rechts van de gebeurtenis. Raadpleeg de gedownloade controlegegevens om afzonderlijke details te bekijken van de acties die zijn opgenomen in bulkcontrolegebeurtenissen.

Als u het informatiepictogram selecteert, ziet u meer informatie over de controlegebeurtenis.

Wanneer u de controlegebeurtenissen bekijkt, kunnen de kolommen Categorie en Gebied u helpen bij het filteren en vinden van specifieke typen gebeurtenissen. De volgende tabellen bevatten de categorieën en gebieden, samen met hun beschrijvingen:

Lijst met gebeurtenissen

We streven ernaar om maandelijks nieuwe controle-gebeurtenissen toe te voegen. Als er een gebeurtenis is die u wilt bijhouden die momenteel niet beschikbaar is, deelt u uw suggestie met ons in de ontwikkelaarscommunity.

Zie de lijst met controle-gebeurtenissen voor een uitgebreide lijst met alle gebeurtenissen die kunnen worden verzonden via de functie Controle.

Notitie

Wilt u weten welke gebeurtenisgebieden uw organisatie registreert? Zorg ervoor dat u de query-API voor auditlogboeken bekijkt: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsen vervang {YOUR_ORGANIZATION} door de naam van uw organisatie. Deze API retourneert een lijst met alle controlegebeurtenissen (of acties) die uw organisatie kan verzenden.

Auditlogboek filteren op datum en tijd

In de huidige controlegebruikersinterface kunt u alleen gebeurtenissen filteren op datum- of tijdsbereik.

1. Als u de weer te geven controlegebeurtenissen wilt beperken, selecteert u het tijdfilter.

   

2. Gebruik de filters om een tijdsbereik binnen de afgelopen 90 dagen te selecteren en het bereik tot de minuut te bepalen.

3. Selecteer Toepassen op de tijdsbereikkiezer om de zoekopdracht te starten. Standaard worden de top 200 resultaten geretourneerd voor die tijdselectie. Als er meer resultaten zijn, kunt u omlaag schuiven om meer vermeldingen op de pagina te laden.

Controlegebeurtenissen exporteren

Als u meer gedetailleerde zoekopdrachten wilt uitvoeren op de controlegegevens of gegevens gedurende meer dan 90 dagen wilt opslaan, exporteert u de bestaande controlegebeurtenissen. U kunt de geëxporteerde gegevens opslaan op een andere locatie of service.

Als u controle-gebeurtenissen wilt exporteren, selecteert u de knop Downloaden . U kunt ervoor kiezen om de gegevens te downloaden als een CSV- of JSON-bestand.

De download bevat gebeurtenissen op basis van het tijdsbereik dat u selecteert in het filter. Als u bijvoorbeeld één dag selecteert, krijgt u de gegevens van één dag. Als u alle 90 dagen wilt ophalen, selecteert u 90 dagen in het tijdsbereikfilter en start u het downloaden.

Notitie

Voor langetermijnopslag en analyse van uw controlegebeurtenissen kunt u overwegen de functie Controlestreaming te gebruiken om uw gebeurtenissen te verzenden naar een SIEM-hulpprogramma (Security Information and Event Management). U wordt aangeraden de controlelogboeken voor cursory-gegevensanalyse te exporteren.

• Als u gegevens wilt filteren buiten het datum-/tijdbereik, downloadt u logboeken als CSV-bestanden en importeert u ze in Microsoft Excel of andere CSV-parsers om door de kolommen Gebied en Categorie te bladeren.
• Als u grotere gegevenssets wilt analyseren, uploadt u geëxporteerde controlegebeurtenissen naar een SIEM-hulpprogramma (Security Incident and Event Management) met behulp van de functie Controlestreaming. Met SIEM-hulpprogramma's kunt u meer dan 90 dagen aan gebeurtenissen bewaren, zoekopdrachten uitvoeren, rapporten genereren en waarschuwingen configureren op basis van controlegebeurtenissen.

Beperkingen

De volgende beperkingen gelden voor wat kan worden gecontroleerd:

• Wijzigingen in het Microsoft Entra-groepslidmaatschap: controlelogboeken bevatten updates voor Azure DevOps-groepen en groepslidmaatschap, wanneer een gebeurtenisgebied zich bevindt Groups. Als u echter lidmaatschap beheert via Microsoft Entra-groepen, worden toevoegingen en verwijderingen van gebruikers uit deze Microsoft Entra-groepen niet opgenomen in deze logboeken. Controleer de Auditlogboeken van Microsoft Entra om te zien wanneer een gebruiker of groep is toegevoegd aan of verwijderd uit een Microsoft Entra-groep.
• Aanmeldingsgebeurtenissen: Azure DevOps houdt aanmeldingsgebeurtenissen niet bij. Als u aanmeldingsgebeurtenissen wilt controleren op uw Microsoft Entra-id, bekijkt u de Auditlogboeken van Microsoft Entra.
• Toevoegingen van indirecte gebruikers: in sommige gevallen kunnen gebruikers indirect aan uw organisatie worden toegevoegd en worden ze weergegeven in het auditlogboek dat is toegevoegd door Azure DevOps Services. Als een gebruiker bijvoorbeeld is toegewezen aan een werkitem, wordt deze mogelijk automatisch toegevoegd aan de organisatie. Hoewel een controlegebeurtenis wordt gegenereerd voor de gebruiker die wordt toegevoegd, is er geen bijbehorende controlegebeurtenis voor de toewijzing van het werkitem dat de gebruiker heeft toegevoegd. Houd rekening met de volgende acties om deze gebeurtenissen te traceren:
  • Controleer de geschiedenis van uw werkitem voor de bijbehorende tijdstempels om te zien of deze gebruiker is toegewezen aan werkitems.
  • Controleer het auditlogboek op gerelateerde gebeurtenissen die context kunnen bieden.

Veelgestelde vragen

V: Wat is de groep DirectoryServiceAddMember en waarom wordt deze weergegeven in het auditlogboek?

A: De DirectoryServiceAddMember groep helpt bij het beheren van lidmaatschap in uw organisatie. Veel systeem-, gebruikers- en beheeracties kunnen van invloed zijn op het lidmaatschap van deze systeemgroep. Omdat deze groep alleen wordt gebruikt voor interne processen, kunt u vermeldingen in het auditlogboek negeren die lidmaatschapswijzigingen in deze groep vastleggen.

Verwante artikelen:

• Controlestreaming maken
• Meer informatie over controle-gebeurtenissen