Uzyskiwanie dostępu do dzienników inspekcji, ich eksportowanie i filtrowanie

Azure DevOps Services

Uwaga

Inspekcja jest nadal dostępna w publicznej wersji zapoznawczej.

Śledzenie działań w środowisku usługi Azure DevOps ma kluczowe znaczenie dla bezpieczeństwa i zgodności. Inspekcja pomaga monitorować i rejestrować te działania, zapewniając przejrzystość i odpowiedzialność. W tym artykule wyjaśniono funkcje inspekcji i pokazano, jak ją skonfigurować i efektywnie używać.

Ważne

Audyt jest dostępny tylko dla organizacji wspieranych przez Microsoft Entra ID. Aby uzyskać więcej informacji, zapoznaj się z Łączenie organizacji z Microsoft Entra ID.

Zmiany audytowe są wykonywane za każdym razem, gdy identyfikator użytkownika lub usługi w organizacji edytuje stan artefaktu. Zdarzenia, które mogą być rejestrowane, obejmują:

• Zmiany uprawnień
• Usunięte zasoby
• Zmiany zasad oddziału
• Dostęp do dzienników i pobieranie
• Wiele innych typów zmian

Te dzienniki zapewniają kompleksowy rejestr działań, ułatwiając monitorowanie zabezpieczeń i zgodności organizacji usługi Azure DevOps oraz zarządzanie nimi.

Zdarzenia inspekcji są przechowywane przez 90 dni przed ich usunięciem. Aby zachować dane dłużej, możesz utworzyć kopię zapasową zdarzeń inspekcji w lokalizacji zewnętrznej.

Uwaga

Inspekcja nie jest dostępna w przypadku wdrożeń lokalnych usługi Azure DevOps. Można jednak połączyć strumień audytowy z instancji usługi Azure DevOps Services z lokalną lub opartą na chmurze instancją rozwiązania Splunk. Upewnij się, że zezwalasz na zakresy adresów IP dla połączeń przychodzących. Aby uzyskać szczegółowe informacje, zobacz Dozwolone listy adresów i połączenia sieciowe, adresy IP i ograniczenia zakresu.

Wymagania wstępne

Inspekcja jest domyślnie wyłączona dla wszystkich organizacji usługi Azure DevOps Services. Upewnij się, że tylko autoryzowani pracownicy mają dostęp do poufnych informacji inspekcji.

Kategoria

Wymagania

uprawnienia

Członek grupy Project Collection Administrators . Właściciele organizacji są automatycznie członkami tej grupy. Albo następujące uprawnienia inspekcji dla użytkownika lub grupy, przypisane do Zezwalaj na: — Zarządzanie strumieniami inspekcji - Wyświetlanie dziennika inspekcji PCA mogą przyznać te uprawnienia dowolnym użytkownikom lub grupom do zarządzania strumieniami organizacji, w tym usuwanie strumieni audytu.

Uwaga

Jeśli dla organizacji jest włączona funkcja Ogranicz widoczność użytkownika i współpracę z określonymi projektami w wersji zapoznawczej, użytkownicy w grupie Użytkownicy o zakresie projektu nie mogą wyświetlać audytu i mają ograniczony wgląd w strony ustawień organizacji. Aby uzyskać więcej informacji i ważnych szczegółów związanych z zabezpieczeniami, zobacz Ograniczanie widoczności użytkowników dla projektów i nie tylko.

Włączanie i wyłączanie inspekcji

Strona podglądu

1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz Ustawienia organizacji.

3. Wybierz pozycję Zasady w nagłówku Zabezpieczenia .

4. Przełącz przycisk Rejestrowanie Zdarzeń Inspekcji na WŁĄCZONE.

   

   Audytowanie jest włączone dla organizacji. Odśwież stronę, aby zobaczyć Audyt na pasku bocznym. Zdarzenia inspekcji zaczynają pojawiać się w dziennikach inspekcji i za pośrednictwem wszystkich skonfigurowanych strumieni inspekcji.

5. Jeśli nie chcesz już odbierać zdarzeń audytu, przełącz przycisk Włącz audyt na WYŁ. Ta akcja usuwa stronę Inspekcja z paska bocznego i powoduje, że strona Dzienniki inspekcji jest niedostępna. Wszystkie strumienie inspekcji przestają odbierać zdarzenia.

Bieżąca strona

1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz pozycję Ustawienia organizacji.

3. Wybierz pozycję Zasady w nagłówku Zabezpieczenia .

4. Przełącz przycisk Zdarzenia inspekcji na WŁĄCZONY.

   

   Audyt jest włączony dla organizacji. Odśwież stronę, aby zobaczyć, jak Audytowanie pojawia się na pasku bocznym. Zdarzenia inspekcji zaczynają pojawiać się w dziennikach inspekcji i za pośrednictwem wszystkich skonfigurowanych strumieni inspekcji.

5. Jeśli nie chcesz już odbierać zdarzeń inspekcji, przełącz przycisk Włącz inspekcję na WYŁ. Ta akcja usuwa stronę Inspekcja z paska bocznego i powoduje, że strona Dzienniki inspekcji jest niedostępna. Wszystkie strumienie inspekcji przestają odbierać zdarzenia.

Inspekcja dostępu

Strona podglądu

1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz Ustawienia organizacji.

   

3. Wybierz pozycję Inspekcja.

   

4. Jeśli nie widzisz opcji Inspekcja w ustawieniach organizacji, nie masz dostępu do wyświetlania zdarzeń inspekcji. Grupa Administratorzy kolekcji projektów może udzielić uprawnień innym użytkownikom i grupom, aby mogli wyświetlać strony inspekcji. W tym celu wybierz pozycję Uprawnienia, a następnie znajdź grupę lub użytkowników, do których chcesz zapewnić dostęp inspekcji.

   

5. Ustaw View audit log (Wyświetl dziennik inspekcji) na Allow(Zezwalaj), a następnie wybierz Save changes (Zapisz zmiany).

   

   Użytkownicy lub członkowie grupy mają dostęp do wyświetlania zdarzeń audytowych Twojej organizacji.

Bieżąca strona

1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz Ustawienia organizacji.

   

3. Wybierz pozycję Inspekcja.

   

4. Jeśli nie widzisz opcji Inspekcja w ustawieniach organizacji, nie masz dostępu do wyświetlania zdarzeń inspekcji. Grupa Administratorzy kolekcji projektów może udzielić uprawnień innym użytkownikom i grupom, aby mogli wyświetlać strony inspekcji. Wybierz pozycję Zabezpieczenia, a następnie znajdź grupę lub użytkowników, do których chcesz zapewnić dostęp inspekcji.

   

5. Ustaw Wyświetl dziennik inspekcji na zezwól, a następnie wybierz Zapisz zmiany.

   

   Użytkownicy lub członkowie grupy mają dostęp do wyświetlania zdarzeń inspekcji organizacji.

Przeglądanie dziennika inspekcji

Strona Inspekcja zawiera prosty widok zdarzeń inspekcji zarejestrowanych w organizacji. Zobacz następujący opis informacji widocznych na stronie inspekcji:

Informacje o zdarzeniach inspekcji i szczegóły

Informacje	Szczegóły
Aktor	Nazwa wyświetlana osoby, która wyzwoliła zdarzenie inspekcji.
Adres IP	Adres IP osoby, która wyzwoliła zdarzenie inspekcji.
Znacznik czasu	Moment wystąpienia zdarzenia uruchomionego. Czas jest dostosowany do twojej strefy czasowej.
Obszar	Obszar produktu w usłudze Azure DevOps, w którym wystąpiło zdarzenie.
Kategoria	Opis typu akcji, która wystąpiła (na przykład modyfikowanie, zmienianie nazwy, tworzenie, usuwanie, odinstalowywanie, wykonywanie i uzyskiwanie dostępu do zdarzenia).
Szczegóły	Krótki opis tego, co wydarzyło się podczas zdarzenia.

Każde zdarzenie inspekcji rejestruje również dodatkowe informacje dotyczące tego, co jest wyświetlane na stronie inspekcji. Te informacje obejmują mechanizm uwierzytelniania, identyfikator korelacji łączący podobne zdarzenia, agenta użytkownika i inne dane w zależności od typu zdarzenia inspekcji. Te informacje można wyświetlić tylko przez wyeksportowanie zdarzeń inspekcji za pośrednictwem pliku CSV lub JSON.

Identyfikator (ID) i identyfikator korelacji

Każde zdarzenie inspekcji ma unikatowe identyfikatory o nazwie ID i CorrelationID. Identyfikator korelacji jest przydatny do znajdowania powiązanych zdarzeń inspekcji. Na przykład utworzenie projektu może wygenerować kilkadziesiąt zdarzeń inspekcji, wszystkie połączone za pomocą tego samego identyfikatora korelacji.

Gdy identyfikator zdarzenia inspekcji jest zgodny z jego identyfikatorem korelacji, wskazuje, że zdarzenie inspekcji jest zdarzeniem nadrzędnym lub oryginalnym. Aby wyświetlić tylko zdarzenia źródłowe, poszukaj zdarzeń, w których ID wartość jest równa Correlation ID. Jeśli chcesz zbadać zdarzenie i powiązane zdarzenia, wyszukaj wszystkie zdarzenia z identyfikatorem korelacji zgodnym z identyfikatorem zdarzenia źródłowego. Nie wszystkie zdarzenia mają powiązane zdarzenia.

Zdarzenia masowe

Niektóre zdarzenia inspekcji, znane jako "zdarzenia inspekcji zbiorczej", mogą zawierać wiele akcji, które miały miejsce jednocześnie. Te zdarzenia można zidentyfikować za pomocą ikony "Informacje" po prawej stronie zdarzenia. Aby wyświetlić szczegółowe informacje o akcjach uwzględnionych w zdarzeniach inspekcji zbiorczej, zapoznaj się z pobranymi danymi inspekcji.

Wybranie ikony informacji powoduje wyświetlenie dodatkowych szczegółów dotyczących zdarzenia inspekcji.

Podczas przeglądania zdarzeń inspekcji kolumny Kategoria i Obszar mogą ułatwić filtrowanie i znajdowanie określonych typów zdarzeń. W poniższych tabelach wymieniono kategorie i obszary wraz z ich opisami:

Lista zdarzeń

Staramy się dodawać nowe zdarzenia inspekcji co miesiąc. Jeśli istnieje zdarzenie, które chciałbyś/chciałabyś śledzić i które nie jest obecnie dostępne, przekaż nam swoją sugestię w Społeczności Programistów .

Aby uzyskać kompleksową listę wszystkich zdarzeń, które mogą być emitowane za pośrednictwem funkcji Inspekcja, zobacz listę zdarzeń inspekcji.

Uwaga

Chcesz dowiedzieć się, jakie obszary zdarzeń rejestruje Twoja organizacja? Pamiętaj, aby zapoznać się z interfejsem API zapytań dziennika inspekcji: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, zastępując ciąg {YOUR_ORGANIZATION} nazwą organizacji. API zwraca listę wszystkich zdarzeń audytu (lub akcji), które może emitować twoja organizacja.

Filtrowanie dziennika inspekcji według daty i godziny

W bieżącym interfejsie użytkownika inspekcji można filtrować zdarzenia tylko według zakresu dat lub godzin.

1. Aby zawęzić wyświetlanie zdarzeń inspekcji, wybierz filtr czasu.

   

2. Użyj filtrów, aby wybrać dowolny zakres czasu w ciągu ostatnich 90 dni i ograniczyć zakres do minuty.

3. Wybierz pozycję Zastosuj dla selektora zakresu czasu, aby rozpocząć wyszukiwanie. Domyślnie zwracane są 200 pierwszych wyników dla wybranego zakresu czasu. Jeśli istnieje więcej wyników, możesz przewinąć w dół, aby załadować więcej wpisów na stronie.

Eksportowanie zdarzeń audytu

Aby przeprowadzić bardziej szczegółowe wyszukiwanie danych inspekcji lub przechowywanie danych przez ponad 90 dni, wyeksportuj istniejące zdarzenia inspekcji. Wyeksportowane dane można przechowywać w innej lokalizacji lub usłudze.

Aby wyeksportować zdarzenia inspekcji, wybierz przycisk Pobierz . Możesz pobrać dane jako plik CSV lub JSON.

Pobieranie zawiera zdarzenia na podstawie zakresu czasu wybranego w filtrze. Jeśli na przykład wybierzesz jeden dzień, otrzymasz dane z jednego dnia. Aby uzyskać wszystkie 90 dni, wybierz 90 dni od filtru zakresu czasu, a następnie rozpocznij pobieranie.

Uwaga

W przypadku długoterminowego przechowywania i analizy zdarzeń inspekcji rozważ użycie funkcji przesyłania strumieniowego inspekcji do wysyłania zdarzeń do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Zalecamy wyeksportowanie dzienników inspekcji na potrzeby pobiedliwej analizy danych.

• Aby filtrować dane poza zakresem daty/godziny, pobierz dzienniki jako pliki CSV i zaimportuj je do programu Microsoft Excel lub innych analizatorów CSV, aby przesiewać kolumny Obszar i Kategoria.
• Aby przeanalizować większe zestawy danych, przekaż wyeksportowane zdarzenia inspekcji do narzędzia do zarządzania incydentami i zdarzeniami bezpieczeństwa (SIEM) przy użyciu funkcji przesyłania strumieniowego zdarzeń inspekcji. Narzędzia SIEM umożliwiają przechowywanie ponad 90 dni zdarzeń, wykonywanie wyszukiwań, generowanie raportów i konfigurowanie alertów na podstawie zdarzeń inspekcji.

Ograniczenia

Do tego, co można przeprowadzić inspekcję, mają zastosowanie następujące ograniczenia:

• Zmiany członkostwa w grupach Microsoft Entra: Dzienniki inspekcji obejmują aktualizacje grup i członkostwa w grupach usługi Azure DevOps, gdy obszar zdarzenia jest określony jako Groups. Jeśli jednak zarządzasz członkostwem za pośrednictwem grup firmy Microsoft Entra, dodawanie i usuwanie użytkowników z tych grup firmy Microsoft Entra nie jest uwzględniane w tych dziennikach. Przejrzyj dzienniki inspekcji firmy Microsoft Entra, aby sprawdzić, kiedy użytkownik lub grupa została dodana lub usunięta z grupy Microsoft Entra.
• Zdarzenia logowania: usługa Azure DevOps nie śledzi zdarzeń logowania. Aby przejrzeć zdarzenia logowania do Microsoft Entra ID, wyświetl dzienniki inspekcji Microsoft Entra.
• Dodatki użytkowników pośrednich: W niektórych przypadkach użytkownicy mogą zostać dodani do organizacji pośrednio i pojawić się w dzienniku inspekcji, dodani przez usługę Azure DevOps Services. Jeśli na przykład użytkownik jest przypisany do elementu roboczego, może zostać automatycznie dodany do organizacji. Podczas generowania zdarzenia audytu dla dodawanego użytkownika brak jest odpowiadającego zdarzenia audytu dla przypisania elementu roboczego, które spowodowało dodanie użytkownika. Aby śledzić te zdarzenia, należy wziąć pod uwagę następujące akcje:
  • Przejrzyj historię elementów roboczych dla odpowiednich sygnatur czasowych, aby sprawdzić, czy ten użytkownik został przypisany do dowolnych elementów roboczych.
  • Sprawdź dziennik inspekcji pod kątem wszelkich powiązanych zdarzeń, które mogą dostarczać kontekst.

Często zadawane pytania

.: Jaka jest grupa DirectoryServiceAddMember i dlaczego jest wyświetlana w dzienniku inspekcji?

1: Grupa DirectoryServiceAddMember pomaga zarządzać członkostwem w organizacji. Wiele akcji systemowych, użytkowników i administratorów może mieć wpływ na członkostwo w tej grupie systemowej. Ponieważ ta grupa jest używana tylko dla procesów wewnętrznych, można zignorować wpisy dziennika inspekcji, które przechwytują zmiany członkostwa w tej grupie.

Powiązane artykuły

• Tworzenie przesyłania strumieniowego audytu
• Dowiedz się więcej o zdarzeniach inspekcji