Uzyskiwanie dostępu do dzienników inspekcji, ich eksportowanie i filtrowanie
Azure DevOps Services
Uwaga
Inspekcja jest nadal dostępna w publicznej wersji zapoznawczej.
Śledzenie działań w środowisku usługi Azure DevOps ma kluczowe znaczenie dla bezpieczeństwa i zgodności. Inspekcja pomaga monitorować i rejestrować te działania, zapewniając przejrzystość i odpowiedzialność. W tym artykule wyjaśniono funkcje inspekcji i pokazano, jak ją skonfigurować i efektywnie używać.
Ważne
Inspekcja jest dostępna tylko dla organizacji wspieranych przez identyfikator Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Łączenie organizacji z identyfikatorem entra firmy Microsoft.
Zmiany inspekcji są wykonywane za każdym razem, gdy tożsamość użytkownika lub usługi w organizacji edytuje stan artefaktu. Zdarzenia, które mogą być rejestrowane, obejmują:
- Zmiany uprawnień
- Usunięte zasoby
- Zmiany zasad gałęzi
- Dostęp do dzienników i pobieranie
- Wiele innych typów zmian
Te dzienniki zapewniają kompleksowy rejestr działań, ułatwiając monitorowanie zabezpieczeń i zgodności organizacji usługi Azure DevOps oraz zarządzanie nimi.
Zdarzenia inspekcji są przechowywane przez 90 dni przed ich usunięciem. Aby zachować dane dłużej, możesz utworzyć kopię zapasową zdarzeń inspekcji w lokalizacji zewnętrznej.
Uwaga
Inspekcja nie jest dostępna w przypadku wdrożeń lokalnych serwera Azure DevOps Server. Można jednak połączyć strumień inspekcji z wystąpienia usługi Azure DevOps Services z lokalnym lub opartym na chmurze wystąpieniem rozwiązania Splunk. Upewnij się, że zezwalasz na zakresy adresów IP dla połączeń przychodzących. Aby uzyskać szczegółowe informacje, zobacz Dozwolone listy adresów i połączenia sieciowe, adresy IP i ograniczenia zakresu.
Wymagania wstępne
Inspekcja jest domyślnie wyłączona dla wszystkich organizacji usługi Azure DevOps Services. Upewnij się, że tylko autoryzowani pracownicy mają dostęp do poufnych informacji inspekcji.
Uprawnienia: być członkiem grupy Administratorzy kolekcji projektów (PCA). Właściciele organizacji są automatycznie członkami tej grupy. Lub mają następujące uprawnienia inspekcji na użytkownika lub grupę:
- Zarządzanie strumieniami inspekcji
- Wyświetlanie dziennika inspekcji
Umowy PCA mogą udzielić tych uprawnień dowolnym użytkownikom lub grupom do zarządzania strumieniami organizacji za pośrednictwem ustawień>zabezpieczeń> organizacji. PcAs mogą również przypisać uprawnienie Usuwanie strumieni inspekcji .
Uwaga
Jeśli dla organizacji jest włączona funkcja Ogranicz widoczność użytkownika i współpracę z określonymi projektami w wersji zapoznawczej, użytkownicy w grupie Użytkownicy o zakresie projektu nie mogą wyświetlać inspekcji i mają ograniczony wgląd na strony ustawień organizacji. Aby uzyskać więcej informacji i ważnych szczegółów związanych z zabezpieczeniami, zobacz Ograniczanie widoczności użytkowników dla projektów i nie tylko.
Włączanie i wyłączanie inspekcji
Zaloguj się do swojej organizacji (
https://dev.azure.com/{yourorganization}
).Wybierz pozycję Ustawienia organizacji.
Wybierz pozycję Zasady w nagłówku Zabezpieczenia .
Przełącz przycisk Dziennik zdarzeń inspekcji na WŁ.
Inspekcja jest włączona dla organizacji. Odśwież stronę, aby zobaczyć wyświetlanie inspekcji na pasku bocznym. Zdarzenia inspekcji zaczynają pojawiać się w dziennikach inspekcji i za pośrednictwem wszystkich skonfigurowanych strumieni inspekcji.
Jeśli nie chcesz już odbierać zdarzeń inspekcji, przełącz przycisk Włącz inspekcję na WYŁ. Ta akcja usuwa stronę Inspekcja z paska bocznego i powoduje, że strona Dzienniki inspekcji jest niedostępna. Wszystkie strumienie inspekcji przestają odbierać zdarzenia.
Inspekcja dostępu
Zaloguj się do swojej organizacji (
https://dev.azure.com/{yourorganization}
).Wybierz pozycję Ustawienia organizacji.
Wybierz pozycję Inspekcja.
Jeśli nie widzisz opcji Inspekcja w ustawieniach organizacji, nie masz dostępu do wyświetlania zdarzeń inspekcji. Grupa Administratorzy kolekcji projektów może udzielić uprawnień innym użytkownikom i grupom, aby mogli wyświetlać strony inspekcji. W tym celu wybierz pozycję Uprawnienia, a następnie znajdź grupę lub użytkowników, do których chcesz zapewnić dostęp inspekcji.
Ustaw opcję Wyświetl dziennik inspekcji, aby zezwolić, a następnie wybierz pozycję Zapisz zmiany.
Użytkownicy lub członkowie grupy mają dostęp do wyświetlania zdarzeń inspekcji organizacji.
Przeglądanie dziennika inspekcji
Strona Inspekcja zawiera prosty widok zdarzeń inspekcji zarejestrowanych w organizacji. Zobacz następujący opis informacji widocznych na stronie inspekcji:
Informacje o zdarzeniach inspekcji i szczegóły
Informacje | Szczegóły |
---|---|
Aktor | Nazwa wyświetlana osoby, która wyzwoliła zdarzenie inspekcji. |
Adres IP | Adres IP osoby, która wyzwoliła zdarzenie inspekcji. |
Znacznik czasu | Czas wystąpienia wyzwolonego zdarzenia. Czas jest zlokalizowany na daną strefę czasową. |
Warstwowy | Obszar produktu w usłudze Azure DevOps, w którym wystąpiło zdarzenie. |
Kategoria | Opis typu akcji, która wystąpiła (na przykład modyfikowanie, zmienianie nazwy, tworzenie, usuwanie, usuwanie, wykonywanie i uzyskiwanie dostępu). |
Szczegóły | Krótki opis tego, co wydarzyło się podczas zdarzenia. |
Każde zdarzenie inspekcji rejestruje również dodatkowe informacje dotyczące tego, co jest wyświetlane na stronie inspekcji. Te informacje obejmują mechanizm uwierzytelniania, identyfikator korelacji łączący podobne zdarzenia, agenta użytkownika i inne dane w zależności od typu zdarzenia inspekcji. Te informacje można wyświetlić tylko przez wyeksportowanie zdarzeń inspekcji za pośrednictwem pliku CSV lub JSON.
Identyfikator i identyfikator korelacji
Każde zdarzenie inspekcji ma unikatowe identyfikatory o nazwie ID
i CorrelationID
. Identyfikator korelacji jest przydatny do znajdowania powiązanych zdarzeń inspekcji. Na przykład utworzenie projektu może wygenerować kilkadziesiąt zdarzeń inspekcji, wszystkie połączone za pomocą tego samego identyfikatora korelacji.
Gdy identyfikator zdarzenia inspekcji jest zgodny z jego identyfikatorem korelacji, wskazuje, że zdarzenie inspekcji jest zdarzeniem nadrzędnym lub oryginalnym. Aby wyświetlić tylko zdarzenia źródłowe, poszukaj zdarzeń, w których ID
wartość jest równa Correlation ID
. Jeśli chcesz zbadać zdarzenie i powiązane zdarzenia, wyszukaj wszystkie zdarzenia z identyfikatorem korelacji zgodnym z identyfikatorem zdarzenia źródłowego. Nie wszystkie zdarzenia mają powiązane zdarzenia.
Zdarzenia zbiorcze
Niektóre zdarzenia inspekcji, znane jako "zdarzenia inspekcji zbiorczej", mogą zawierać wiele akcji, które miały miejsce jednocześnie. Te zdarzenia można zidentyfikować za pomocą ikony "Informacje" po prawej stronie zdarzenia. Aby wyświetlić szczegółowe informacje o akcjach uwzględnionych w zdarzeniach inspekcji zbiorczej, zapoznaj się z pobranymi danymi inspekcji.
Wybranie ikony informacji powoduje wyświetlenie dodatkowych szczegółów dotyczących zdarzenia inspekcji.
Podczas przeglądania zdarzeń inspekcji kolumny Kategoria i Obszar mogą ułatwić filtrowanie i znajdowanie określonych typów zdarzeń. W poniższych tabelach wymieniono kategorie i obszary wraz z ich opisami:
Lista zdarzeń
Staramy się dodawać nowe zdarzenia inspekcji co miesiąc. Jeśli istnieje zdarzenie, które ma być śledzone, które nie jest obecnie dostępne, podziel się z nami swoją sugestią w społeczności deweloperów.
Aby uzyskać kompleksową listę wszystkich zdarzeń, które mogą być emitowane za pośrednictwem funkcji Inspekcja, zobacz listę zdarzeń inspekcji.
Uwaga
Chcesz dowiedzieć się, jakie obszary zdarzeń mają dzienniki organizacji? Pamiętaj, aby zapoznać się z interfejsem API zapytań dziennika inspekcji: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions
, zastępując ciąg {YOUR_ORGANIZATION} nazwą organizacji. Ten interfejs API zwraca listę wszystkich zdarzeń inspekcji (lub akcji), które organizacja może emitować.
Filtrowanie dziennika inspekcji według daty i godziny
W bieżącym interfejsie użytkownika inspekcji można filtrować zdarzenia tylko według zakresu dat lub godzin.
Aby zawęzić wyświetlanie zdarzeń inspekcji, wybierz filtr czasu.
Użyj filtrów, aby wybrać dowolny zakres czasu w ciągu ostatnich 90 dni i ograniczyć zakres do minuty.
Wybierz pozycję Zastosuj dla selektora zakresu czasu, aby rozpocząć wyszukiwanie. Domyślnie 200 pierwszych wyników jest zwracanych dla tego zaznaczenia czasu. Jeśli istnieje więcej wyników, możesz przewinąć w dół, aby załadować więcej wpisów na stronie.
Eksportowanie zdarzeń inspekcji
Aby przeprowadzić bardziej szczegółowe wyszukiwanie danych inspekcji lub przechowywanie danych przez ponad 90 dni, wyeksportuj istniejące zdarzenia inspekcji. Wyeksportowane dane można przechowywać w innej lokalizacji lub usłudze.
Aby wyeksportować zdarzenia inspekcji, wybierz przycisk Pobierz . Możesz pobrać dane jako plik CSV lub JSON.
Pobieranie zawiera zdarzenia na podstawie zakresu czasu wybranego w filtrze. Jeśli na przykład wybierzesz jeden dzień, otrzymasz dane z jednego dnia. Aby uzyskać wszystkie 90 dni, wybierz 90 dni od filtru zakresu czasu, a następnie rozpocznij pobieranie.
Uwaga
W przypadku długoterminowego przechowywania i analizy zdarzeń inspekcji rozważ użycie funkcji przesyłania strumieniowego inspekcji do wysyłania zdarzeń do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Zalecamy wyeksportowanie dzienników inspekcji na potrzeby pobiedliwej analizy danych.
- Aby filtrować dane poza zakresem daty/godziny, pobierz dzienniki jako pliki CSV i zaimportuj je do programu Microsoft Excel lub innych analizatorów CSV, aby przesiewać kolumny Obszar i Kategoria.
- Aby przeanalizować większe zestawy danych, przekaż wyeksportowane zdarzenia inspekcji do narzędzia Do zarządzania zdarzeniami zabezpieczeń i zdarzeń (SIEM) przy użyciu funkcji Inspekcja przesyłania strumieniowego. Narzędzia SIEM umożliwiają przechowywanie ponad 90 dni zdarzeń, wykonywanie wyszukiwań, generowanie raportów i konfigurowanie alertów na podstawie zdarzeń inspekcji.
Ograniczenia
Do tego, co można przeprowadzić inspekcję, mają zastosowanie następujące ograniczenia:
- Zmiany członkostwa w grupach firmy Microsoft: Dzienniki inspekcji obejmują aktualizacje grup i członkostwa w grupach usługi Azure DevOps, gdy obszar zdarzenia to
Groups
. Jeśli jednak zarządzasz członkostwem za pośrednictwem grup firmy Microsoft Entra, dodawanie i usuwanie użytkowników z tych grup firmy Microsoft Entra nie jest uwzględniane w tych dziennikach. Przejrzyj dzienniki inspekcji firmy Microsoft Entra, aby sprawdzić, kiedy użytkownik lub grupa została dodana lub usunięta z grupy Microsoft Entra. - Zdarzenia logowania: usługa Azure DevOps nie śledzi zdarzeń logowania. Aby przejrzeć zdarzenia logowania do identyfikatora Entra firmy Microsoft, wyświetl dzienniki inspekcji firmy Microsoft Entra.
- Dodatki użytkowników pośrednich: w niektórych przypadkach użytkownicy mogą zostać dodani do organizacji pośrednio i pokazać w dzienniku inspekcji dodanym przez usługę Azure DevOps Services. Jeśli na przykład użytkownik jest przypisany do elementu roboczego, może zostać automatycznie dodany do organizacji. Podczas generowania zdarzenia inspekcji dla dodawanego użytkownika nie ma odpowiedniego zdarzenia inspekcji dla przypisania elementu roboczego, które wyzwoliło dodanie użytkownika. Aby śledzić te zdarzenia, należy wziąć pod uwagę następujące akcje:
- Przejrzyj historię elementów roboczych dla odpowiednich sygnatur czasowych, aby sprawdzić, czy ten użytkownik został przypisany do dowolnych elementów roboczych.
- Sprawdź dziennik inspekcji pod kątem wszelkich powiązanych zdarzeń, które mogą dostarczać kontekst.
Często zadawane pytania
.: Jaka jest grupa DirectoryServiceAddMember i dlaczego jest wyświetlana w dzienniku inspekcji?
1: Grupa DirectoryServiceAddMember
pomaga zarządzać członkostwem w organizacji. Wiele akcji systemowych, użytkowników i administratorów może mieć wpływ na członkostwo w tej grupie systemowej. Ponieważ ta grupa jest używana tylko dla procesów wewnętrznych, można zignorować wpisy dziennika inspekcji, które przechwytują zmiany członkostwa w tej grupie.