Dela via

Åtkomst, export och filtergranskningsloggar

  • Artikel

Azure DevOps Services

Kommentar

Granskning är fortfarande i offentlig förhandsversion.

Att hålla reda på aktiviteter i din Azure DevOps-miljö är avgörande för säkerhet och efterlevnad. Granskning hjälper dig att övervaka och logga dessa aktiviteter, vilket ger transparens och ansvarsskyldighet. Den här artikeln beskriver granskningsfunktionerna och visar hur du konfigurerar och använder den effektivt.

Viktigt!

Granskning är endast tillgängligt för organisationer som backas upp av Microsoft Entra-ID. Mer information finns i Ansluta din organisation till Microsoft Entra-ID.

Granskningsändringar sker när en användare eller tjänstidentitet i organisationen redigerar tillståndet för en artefakt. Händelser som kan loggas är:

  • Behörighetsändringar
  • Borttagna resurser
  • Ändringar i grenprincip
  • Loggåtkomst och nedladdningar
  • Många andra typer av ändringar

De här loggarna innehåller en omfattande lista över aktiviteter som hjälper dig att övervaka och hantera säkerheten och efterlevnaden för din Azure DevOps-organisation.

Granskningshändelser lagras i 90 dagar innan de tas bort. Om du vill behålla data längre kan du säkerhetskopiera granskningshändelser till en extern plats.

Kommentar

Granskning är inte tillgängligt för lokala distributioner av Azure DevOps Server. Du kan dock ansluta en granskningsström från en Azure DevOps Services-instans till en lokal eller molnbaserad instans av Splunk. Se till att du tillåter IP-intervall för inkommande anslutningar. Mer information finns i Tillåtna adresslistor och nätverksanslutningar, IP-adresser och intervallbegränsningar.

Förutsättningar

Granskning är inaktiverat som standard för alla Azure DevOps Services-organisationer. Se till att endast behörig personal har åtkomst till känslig granskningsinformation.

Behörigheter: Vara medlem i gruppen Administratörer för projektsamling (PCA). Organisationsägare är automatiskt medlemmar i den här gruppen. Eller ha följande granskningsbehörigheter per användare eller grupp:

  • Hantera granskningsströmmar
  • Visa granskningslogg

Skärmbild som visar inställningar för granskningsbehörigheter till Tillåt.

PCA:er kan bevilja dessa behörigheter till alla användare eller grupper för att hantera organisationsströmmar via Säkerhetsbehörigheter >för organisationsinställningar>. PCA:er kan också tilldela behörigheten Ta bort granskningsströmmar .

Kommentar

Om funktionen Begränsa användarens synlighet och samarbete för specifika projekt för förhandsversion är aktiverad för organisationen kan användare i gruppen Project-Scoped Users inte visa granskning och ha begränsad insyn på sidan Organisationsinställningar. Mer information och viktig säkerhetsrelaterad information finns i Begränsa användarnas synlighet för projekt med mera.

Aktivera och inaktivera granskning

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

  3. Välj Principer under säkerhetsrubriken.

  4. Växla knappen Logggranskningshändelser till PÅ.

    Skärmbild av granskningsprincip aktiverad.

    Granskning är aktiverat för organisationen. Uppdatera sidan för att se Granskning visas i sidofältet. Granskningshändelser börjar visas i granskningsloggar och via eventuella konfigurerade granskningsströmmar.

  5. Om du inte längre vill ta emot granskningshändelser växlar du knappen Aktivera granskning till AV. Den här åtgärden tar bort sidan Granskning från sidofältet och gör sidan Granskningsloggar otillgänglig. Alla granskningsströmmar slutar ta emot händelser.

Åtkomst till granskning

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

    Skärmbild som visar den markerade knappen Organisationsinställningar.

  3. Välj Granskning.

    Granskningsförhandsgranskningssida

  4. Om du inte ser Granskning i organisationsinställningar har du inte åtkomst till att visa granskningshändelser. Gruppen Administratörer för projektsamling kan ge behörigheter till andra användare och grupper så att de kan visa granskningssidorna. Det gör du genom att välja Behörigheter och sedan hitta den grupp eller de användare som ska tillhandahålla granskningsåtkomst till.

    Skärmbild av den markerade fliken Behörigheter.

  5. Ange Visa granskningslogg som tillåten och välj sedan Spara ändringar.

    Skärmbild av förhandsversionen av granskningsbehörigheter.

    Användaren eller gruppmedlemmarna har åtkomst till att visa organisationens granskningshändelser.

Granska granskningslogg

Sidan Granskning ger en enkel vy över de granskningshändelser som registrerats för din organisation. Se följande beskrivning av den information som visas på granskningssidan:

Granska händelseinformation och information

Information Details
Skådespelare Visningsnamn för den person som utlöste granskningshändelsen.
IP IP-adress för den person som utlöste granskningshändelsen.
Tidsstämpel Tid då den utlösta händelsen inträffade. Tiden lokaliseras till din tidszon.
Ytdiagram Det produktområde i Azure DevOps där händelsen inträffade.
Kategori Beskrivning av vilken typ av åtgärd som inträffade (till exempel ändra, byta namn på, skapa, ta bort, ta bort, köra och åtkomsthändelse).
Details Kort beskrivning av vad som skedde under händelsen.

Varje granskningshändelse registrerar även ytterligare information om vad som kan visas på granskningssidan. Den här informationen omfattar autentiseringsmekanismen, ett korrelations-ID för att länka liknande händelser tillsammans, användaragent och mer data beroende på typen av granskningshändelse. Den här informationen kan bara visas om du exporterar granskningshändelserna via CSV eller JSON.

ID och korrelations-ID

Varje granskningshändelse har unika identifierare som kallas ID och CorrelationID. Korrelations-ID:t är användbart för att hitta relaterade granskningshändelser. Om du till exempel skapar ett projekt kan du generera flera dussin granskningshändelser som alla länkas av samma korrelations-ID.

När ett granskningshändelse-ID matchar dess korrelations-ID anger det att granskningshändelsen är den överordnade eller ursprungliga händelsen. Om du bara vill se händelser som kommer från letar du efter händelser där är ID lika Correlation IDmed . Om du vill undersöka en händelse och dess relaterade händelser letar du upp alla händelser med ett korrelations-ID som matchar den ursprungliga händelsens ID. Alla händelser har inte relaterade händelser.

Masshändelser

Vissa granskningshändelser, så kallade massgranskningshändelser, kan innehålla flera åtgärder som ägde rum samtidigt. Du kan identifiera dessa händelser med informationsikonen längst till höger om händelsen. Information om de åtgärder som ingår i massgranskningshändelser finns i de nedladdade granskningsdata.

Skärmbild som visar granskningsikonen för mer information.

Om du väljer informationsikonen visas mer information om granskningshändelsen.

När du granskar granskningshändelserna kan kolumnerna Kategori och Område hjälpa dig att filtrera och hitta specifika typer av händelser. I följande tabeller visas kategorier och områden, tillsammans med deras beskrivningar:

Lista över händelser

Vi strävar efter att lägga till nya granskningshändelser varje månad. Om det finns en händelse som du vill se spårad som för närvarande inte är tillgänglig kan du dela ditt förslag med oss i utvecklarcommunityn.

En omfattande lista över alla händelser som kan genereras via granskningsfunktionen finns i listan Granskningshändelser.

Kommentar

Vill du ta reda på vilka händelseområden organisationen loggar? Se till att kolla in FRÅGE-API:et för granskningsloggar: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsoch ersätt {YOUR_ORGANIZATION} med namnet på din organisation. Det här API:et returnerar en lista över alla granskningshändelser (eller åtgärder) som din organisation kan generera.

Filtrera granskningsloggen efter datum och tid

I det aktuella granskningsgränssnittet kan du endast filtrera händelser efter datum eller tidsintervall.

  1. Om du vill begränsa de granskningsbara händelserna väljer du tidsfiltret.

    Skärmbild som visar granskning av postfilter efter datum och tid.

  2. Använd filtren för att välja ett tidsintervall inom de senaste 90 dagarna och begränsa det till minut.

  3. Välj Använd på tidsintervallväljaren för att starta sökningen. Som standard returneras de översta 200 resultaten för den tidsmarkeringen. Om det finns fler resultat kan du rulla ned för att läsa in fler poster på sidan.

Exportera granskningshändelser

Om du vill utföra en mer detaljerad sökning på granskningsdata eller lagra data i mer än 90 dagar exporterar du de befintliga granskningshändelserna. Du kan lagra exporterade data på en annan plats eller tjänst.

Om du vill exportera granskningshändelser väljer du knappen Ladda ned . Du kan välja att ladda ned data som en CSV- eller JSON-fil.

Nedladdningen innehåller händelser baserat på det tidsintervall som du väljer i filtret. Om du till exempel väljer en dag får du en dags data. Om du vill hämta alla 90 dagar väljer du 90 dagar från tidsintervallfiltret och startar sedan nedladdningen.

Kommentar

För långsiktig lagring och analys av dina granskningshändelser bör du överväga att använda funktionen Granskningsströmning för att skicka dina händelser till ett SIEM-verktyg (Security Information and Event Management). Vi rekommenderar att du exporterar granskningsloggarna för markördataanalys.

  • Om du vill filtrera data utanför datum-/tidsintervallet laddar du ned loggar som CSV-filer och importerar dem till Microsoft Excel eller andra CSV-parsare för att söka igenom kolumnerna Område och Kategori.
  • Om du vill analysera större datamängder laddar du upp exporterade granskningshändelser till ett SIEM-verktyg (Security Incident and Event Management) med hjälp av funktionen Granskningsströmning. MED SIEM-verktyg kan du behålla mer än 90 dagars händelser, utföra sökningar, generera rapporter och konfigurera aviseringar baserat på granskningshändelser.

Begränsningar

Följande begränsningar gäller för vad som kan granskas:

  • Ändringar i Microsoft Entra-gruppmedlemskap: Granskningsloggar innehåller uppdateringar av Azure DevOps-grupper och gruppmedlemskap när ett händelseområde är Groups. Men om du hanterar medlemskap via Microsoft Entra-grupper ingår inte tillägg och borttagningar av användare från dessa Microsoft Entra-grupper i dessa loggar. Granska Microsoft Entra-granskningsloggarna för att se när en användare eller grupp har lagts till eller tagits bort från en Microsoft Entra-grupp.
  • Inloggningshändelser: Azure DevOps spårar inte inloggningshändelser. Om du vill granska inloggningshändelser till ditt Microsoft Entra-ID kan du visa Microsoft Entra-granskningsloggarna.
  • Indirekta användartillägg: I vissa fall kan användare läggas till i din organisation indirekt och visas i granskningsloggen som lagts till av Azure DevOps Services. Om en användare till exempel tilldelas till ett arbetsobjekt kan de läggas till automatiskt i organisationen. Medan en granskningshändelse genereras för användaren som läggs till, finns det ingen motsvarande granskningshändelse för arbetsobjekttilldelningen som utlöste användartillägget. Tänk på följande för att spåra dessa händelser:
    • Granska arbetsobjekthistoriken för motsvarande tidsstämplar för att se om den här användaren har tilldelats till några arbetsobjekt.
    • Kontrollera granskningsloggen efter relaterade händelser som kan ge kontext.

Vanliga frågor och svar

F: Vad är gruppen DirectoryServiceAddMember och varför visas den i granskningsloggen?

S: Gruppen DirectoryServiceAddMember hjälper till att hantera medlemskap i din organisation. Många system-, användar- och administrativa åtgärder kan påverka medlemskapet i den här systemgruppen. Eftersom den här gruppen endast används för interna processer kan du bortse från granskningsloggposter som samlar in medlemskapsändringar i den här gruppen.