Udostępnij za pośrednictwem


Uzyskiwanie dostępu do dzienników inspekcji, ich eksportowanie i filtrowanie

Azure DevOps Services

Uwaga

Inspekcja jest nadal dostępna w publicznej wersji zapoznawczej.

Śledzenie działań w środowisku usługi Azure DevOps ma kluczowe znaczenie dla bezpieczeństwa i zgodności. Inspekcja pomaga monitorować i rejestrować te działania, zapewniając przejrzystość i odpowiedzialność. W tym artykule wyjaśniono funkcje inspekcji i pokazano, jak ją skonfigurować i efektywnie używać.

Ważne

Inspekcja jest dostępna tylko dla organizacji wspieranych przez identyfikator Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Łączenie organizacji z identyfikatorem entra firmy Microsoft.

Zmiany inspekcji są wykonywane za każdym razem, gdy tożsamość użytkownika lub usługi w organizacji edytuje stan artefaktu. Zdarzenia, które mogą być rejestrowane, obejmują:

  • Zmiany uprawnień
  • Usunięte zasoby
  • Zmiany zasad gałęzi
  • Dostęp do dzienników i pobieranie
  • Wiele innych typów zmian

Te dzienniki zapewniają kompleksowy rejestr działań, ułatwiając monitorowanie zabezpieczeń i zgodności organizacji usługi Azure DevOps oraz zarządzanie nimi.

Zdarzenia inspekcji są przechowywane przez 90 dni przed ich usunięciem. Aby zachować dane dłużej, możesz utworzyć kopię zapasową zdarzeń inspekcji w lokalizacji zewnętrznej.

Uwaga

Inspekcja nie jest dostępna w przypadku wdrożeń lokalnych serwera Azure DevOps Server. Można jednak połączyć strumień inspekcji z wystąpienia usługi Azure DevOps Services z lokalnym lub opartym na chmurze wystąpieniem rozwiązania Splunk. Upewnij się, że zezwalasz na zakresy adresów IP dla połączeń przychodzących. Aby uzyskać szczegółowe informacje, zobacz Dozwolone listy adresów i połączenia sieciowe, adresy IP i ograniczenia zakresu.

Wymagania wstępne

Inspekcja jest domyślnie wyłączona dla wszystkich organizacji usługi Azure DevOps Services. Upewnij się, że tylko autoryzowani pracownicy mają dostęp do poufnych informacji inspekcji.

Uprawnienia: być członkiem grupy Administratorzy kolekcji projektów (PCA). Właściciele organizacji są automatycznie członkami tej grupy. Lub mają następujące uprawnienia inspekcji na użytkownika lub grupę:

  • Zarządzanie strumieniami inspekcji
  • Wyświetlanie dziennika inspekcji

Zrzut ekranu przedstawiający uprawnienia inspekcji ustawień do pozycji Zezwalaj.

Umowy PCA mogą udzielić tych uprawnień dowolnym użytkownikom lub grupom do zarządzania strumieniami organizacji za pośrednictwem ustawień>zabezpieczeń> organizacji. PcAs mogą również przypisać uprawnienie Usuwanie strumieni inspekcji .

Uwaga

Jeśli dla organizacji jest włączona funkcja Ogranicz widoczność użytkownika i współpracę z określonymi projektami w wersji zapoznawczej, użytkownicy w grupie Użytkownicy o zakresie projektu nie mogą wyświetlać inspekcji i mają ograniczony wgląd na strony ustawień organizacji. Aby uzyskać więcej informacji i ważnych szczegółów związanych z zabezpieczeniami, zobacz Ograniczanie widoczności użytkowników dla projektów i nie tylko.

Włączanie i wyłączanie inspekcji

  1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz pozycję ikona koła zębatego Ustawienia organizacji.

  3. Wybierz pozycję Zasady w nagłówku Zabezpieczenia .

  4. Przełącz przycisk Dziennik zdarzeń inspekcji na WŁ.

    Zrzut ekranu przedstawiający włączone zasady inspekcji.

    Inspekcja jest włączona dla organizacji. Odśwież stronę, aby zobaczyć wyświetlanie inspekcji na pasku bocznym. Zdarzenia inspekcji zaczynają pojawiać się w dziennikach inspekcji i za pośrednictwem wszystkich skonfigurowanych strumieni inspekcji.

  5. Jeśli nie chcesz już odbierać zdarzeń inspekcji, przełącz przycisk Włącz inspekcję na WYŁ. Ta akcja usuwa stronę Inspekcja z paska bocznego i powoduje, że strona Dzienniki inspekcji jest niedostępna. Wszystkie strumienie inspekcji przestają odbierać zdarzenia.

Inspekcja dostępu

  1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz pozycję ikona koła zębatego Ustawienia organizacji.

    Zrzut ekranu przedstawiający wyróżniony przycisk Ustawienia organizacji.

  3. Wybierz pozycję Inspekcja.

    Strona podglądu inspekcji

  4. Jeśli nie widzisz opcji Inspekcja w ustawieniach organizacji, nie masz dostępu do wyświetlania zdarzeń inspekcji. Grupa Administratorzy kolekcji projektów może udzielić uprawnień innym użytkownikom i grupom, aby mogli wyświetlać strony inspekcji. W tym celu wybierz pozycję Uprawnienia, a następnie znajdź grupę lub użytkowników, do których chcesz zapewnić dostęp inspekcji.

    Zrzut ekranu przedstawiający wyróżnioną kartę Uprawnienia.

  5. Ustaw opcję Wyświetl dziennik inspekcji, aby zezwolić, a następnie wybierz pozycję Zapisz zmiany.

    Zrzut ekranu przedstawiający podgląd uprawnień inspekcji dostępu.

    Użytkownicy lub członkowie grupy mają dostęp do wyświetlania zdarzeń inspekcji organizacji.

Przeglądanie dziennika inspekcji

Strona Inspekcja zawiera prosty widok zdarzeń inspekcji zarejestrowanych w organizacji. Zobacz następujący opis informacji widocznych na stronie inspekcji:

Informacje o zdarzeniach inspekcji i szczegóły

Informacje Szczegóły
Aktor Nazwa wyświetlana osoby, która wyzwoliła zdarzenie inspekcji.
Adres IP Adres IP osoby, która wyzwoliła zdarzenie inspekcji.
Znacznik czasu Czas wystąpienia wyzwolonego zdarzenia. Czas jest zlokalizowany na daną strefę czasową.
Warstwowy Obszar produktu w usłudze Azure DevOps, w którym wystąpiło zdarzenie.
Kategoria Opis typu akcji, która wystąpiła (na przykład modyfikowanie, zmienianie nazwy, tworzenie, usuwanie, usuwanie, wykonywanie i uzyskiwanie dostępu).
Szczegóły Krótki opis tego, co wydarzyło się podczas zdarzenia.

Każde zdarzenie inspekcji rejestruje również dodatkowe informacje dotyczące tego, co jest wyświetlane na stronie inspekcji. Te informacje obejmują mechanizm uwierzytelniania, identyfikator korelacji łączący podobne zdarzenia, agenta użytkownika i inne dane w zależności od typu zdarzenia inspekcji. Te informacje można wyświetlić tylko przez wyeksportowanie zdarzeń inspekcji za pośrednictwem pliku CSV lub JSON.

Identyfikator i identyfikator korelacji

Każde zdarzenie inspekcji ma unikatowe identyfikatory o nazwie ID i CorrelationID. Identyfikator korelacji jest przydatny do znajdowania powiązanych zdarzeń inspekcji. Na przykład utworzenie projektu może wygenerować kilkadziesiąt zdarzeń inspekcji, wszystkie połączone za pomocą tego samego identyfikatora korelacji.

Gdy identyfikator zdarzenia inspekcji jest zgodny z jego identyfikatorem korelacji, wskazuje, że zdarzenie inspekcji jest zdarzeniem nadrzędnym lub oryginalnym. Aby wyświetlić tylko zdarzenia źródłowe, poszukaj zdarzeń, w których ID wartość jest równa Correlation ID. Jeśli chcesz zbadać zdarzenie i powiązane zdarzenia, wyszukaj wszystkie zdarzenia z identyfikatorem korelacji zgodnym z identyfikatorem zdarzenia źródłowego. Nie wszystkie zdarzenia mają powiązane zdarzenia.

Zdarzenia zbiorcze

Niektóre zdarzenia inspekcji, znane jako "zdarzenia inspekcji zbiorczej", mogą zawierać wiele akcji, które miały miejsce jednocześnie. Te zdarzenia można zidentyfikować za pomocą ikony "Informacje" po prawej stronie zdarzenia. Aby wyświetlić szczegółowe informacje o akcjach uwzględnionych w zdarzeniach inspekcji zbiorczej, zapoznaj się z pobranymi danymi inspekcji.

Zrzut ekranu przedstawiający ikonę inspekcji.

Wybranie ikony informacji powoduje wyświetlenie dodatkowych szczegółów dotyczących zdarzenia inspekcji.

Podczas przeglądania zdarzeń inspekcji kolumny Kategoria i Obszar mogą ułatwić filtrowanie i znajdowanie określonych typów zdarzeń. W poniższych tabelach wymieniono kategorie i obszary wraz z ich opisami:

Lista zdarzeń

Staramy się dodawać nowe zdarzenia inspekcji co miesiąc. Jeśli istnieje zdarzenie, które ma być śledzone, które nie jest obecnie dostępne, podziel się z nami swoją sugestią w społeczności deweloperów.

Aby uzyskać kompleksową listę wszystkich zdarzeń, które mogą być emitowane za pośrednictwem funkcji Inspekcja, zobacz listę zdarzeń inspekcji.

Uwaga

Chcesz dowiedzieć się, jakie obszary zdarzeń mają dzienniki organizacji? Pamiętaj, aby zapoznać się z interfejsem API zapytań dziennika inspekcji: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, zastępując ciąg {YOUR_ORGANIZATION} nazwą organizacji. Ten interfejs API zwraca listę wszystkich zdarzeń inspekcji (lub akcji), które organizacja może emitować.

Filtrowanie dziennika inspekcji według daty i godziny

W bieżącym interfejsie użytkownika inspekcji można filtrować zdarzenia tylko według zakresu dat lub godzin.

  1. Aby zawęzić wyświetlanie zdarzeń inspekcji, wybierz filtr czasu.

    Zrzut ekranu przedstawiający filtr wpisu inspekcji według daty i godziny.

  2. Użyj filtrów, aby wybrać dowolny zakres czasu w ciągu ostatnich 90 dni i ograniczyć zakres do minuty.

  3. Wybierz pozycję Zastosuj dla selektora zakresu czasu, aby rozpocząć wyszukiwanie. Domyślnie 200 pierwszych wyników jest zwracanych dla tego zaznaczenia czasu. Jeśli istnieje więcej wyników, możesz przewinąć w dół, aby załadować więcej wpisów na stronie.

Eksportowanie zdarzeń inspekcji

Aby przeprowadzić bardziej szczegółowe wyszukiwanie danych inspekcji lub przechowywanie danych przez ponad 90 dni, wyeksportuj istniejące zdarzenia inspekcji. Wyeksportowane dane można przechowywać w innej lokalizacji lub usłudze.

Aby wyeksportować zdarzenia inspekcji, wybierz przycisk Pobierz . Możesz pobrać dane jako plik CSV lub JSON.

Pobieranie zawiera zdarzenia na podstawie zakresu czasu wybranego w filtrze. Jeśli na przykład wybierzesz jeden dzień, otrzymasz dane z jednego dnia. Aby uzyskać wszystkie 90 dni, wybierz 90 dni od filtru zakresu czasu, a następnie rozpocznij pobieranie.

Uwaga

W przypadku długoterminowego przechowywania i analizy zdarzeń inspekcji rozważ użycie funkcji przesyłania strumieniowego inspekcji do wysyłania zdarzeń do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Zalecamy wyeksportowanie dzienników inspekcji na potrzeby pobiedliwej analizy danych.

  • Aby filtrować dane poza zakresem daty/godziny, pobierz dzienniki jako pliki CSV i zaimportuj je do programu Microsoft Excel lub innych analizatorów CSV, aby przesiewać kolumny Obszar i Kategoria.
  • Aby przeanalizować większe zestawy danych, przekaż wyeksportowane zdarzenia inspekcji do narzędzia Do zarządzania zdarzeniami zabezpieczeń i zdarzeń (SIEM) przy użyciu funkcji Inspekcja przesyłania strumieniowego. Narzędzia SIEM umożliwiają przechowywanie ponad 90 dni zdarzeń, wykonywanie wyszukiwań, generowanie raportów i konfigurowanie alertów na podstawie zdarzeń inspekcji.

Ograniczenia

Do tego, co można przeprowadzić inspekcję, mają zastosowanie następujące ograniczenia:

  • Zmiany członkostwa w grupach firmy Microsoft: Dzienniki inspekcji obejmują aktualizacje grup i członkostwa w grupach usługi Azure DevOps, gdy obszar zdarzenia to Groups. Jeśli jednak zarządzasz członkostwem za pośrednictwem grup firmy Microsoft Entra, dodawanie i usuwanie użytkowników z tych grup firmy Microsoft Entra nie jest uwzględniane w tych dziennikach. Przejrzyj dzienniki inspekcji firmy Microsoft Entra, aby sprawdzić, kiedy użytkownik lub grupa została dodana lub usunięta z grupy Microsoft Entra.
  • Zdarzenia logowania: usługa Azure DevOps nie śledzi zdarzeń logowania. Aby przejrzeć zdarzenia logowania do identyfikatora Entra firmy Microsoft, wyświetl dzienniki inspekcji firmy Microsoft Entra.
  • Dodatki użytkowników pośrednich: w niektórych przypadkach użytkownicy mogą zostać dodani do organizacji pośrednio i pokazać w dzienniku inspekcji dodanym przez usługę Azure DevOps Services. Jeśli na przykład użytkownik jest przypisany do elementu roboczego, może zostać automatycznie dodany do organizacji. Podczas generowania zdarzenia inspekcji dla dodawanego użytkownika nie ma odpowiedniego zdarzenia inspekcji dla przypisania elementu roboczego, które wyzwoliło dodanie użytkownika. Aby śledzić te zdarzenia, należy wziąć pod uwagę następujące akcje:
    • Przejrzyj historię elementów roboczych dla odpowiednich sygnatur czasowych, aby sprawdzić, czy ten użytkownik został przypisany do dowolnych elementów roboczych.
    • Sprawdź dziennik inspekcji pod kątem wszelkich powiązanych zdarzeń, które mogą dostarczać kontekst.

Często zadawane pytania

.: Jaka jest grupa DirectoryServiceAddMember i dlaczego jest wyświetlana w dzienniku inspekcji?

1: Grupa DirectoryServiceAddMember pomaga zarządzać członkostwem w organizacji. Wiele akcji systemowych, użytkowników i administratorów może mieć wpływ na członkostwo w tej grupie systemowej. Ponieważ ta grupa jest używana tylko dla procesów wewnętrznych, można zignorować wpisy dziennika inspekcji, które przechwytują zmiany członkostwa w tej grupie.