Přístup k protokolům auditu, jejich export a filtrování
Služby Azure DevOps
Poznámka:
Auditování je stále ve verzi Public Preview.
Na stránce Auditování vaší organizace Nastavení můžete přistupovat k protokolům auditu, exportovat je a filtrovat, které sledují mnoho změn, ke kterým dochází v organizacích Azure DevOps. S těmito protokoly je můžete použít ke splnění cílů dodržování předpisů a zásad správného řízení vaší organizace.
Důležité
Auditování je k dispozici pouze pro organizace, které využívají ID Microsoft Entra. Další informace najdete v tématu Připojení vaší organizaci do Microsoft Entra ID.
Ke změnám auditu dochází vždy, když identita uživatele nebo služby v organizaci upraví stav artefaktu. U některého z následujících výskytů se můžou zaznamenávat události:
- změny oprávnění
- odstraněné prostředky
- změny zásad větve
- auditování přístupu k protokolům a stahování
- a mnohem více...
Události se ukládají po dobu 90 dnů a potom se odstraní. Události auditu ale můžete zálohovat do externího umístění a uchovávat tak data po dobu delší než 90 dnů.
K událostem auditování můžete přistupovat dvěma metodami na stránce Auditování ve vaší organizaci Nastavení:
- Prostřednictvím protokolů auditování dostupných na hlavní kartě Protokoly a
- prostřednictvím všech datových proudů auditování nastavených prostřednictvím karty Toky.
Poznámka:
Auditování není k dispozici pro místní nasazení Azure DevOps Serveru. Stream auditování z instance Azure DevOps Services je možné připojit k místní nebo cloudové instanci Splunku, ale musíte zajistit, abyste povolili rozsahy IP adres pro příchozí připojení. Podrobnosti najdete v tématu Seznam povolených adres a síťová připojení, IP adresy a omezení rozsahu.
Požadavky
Auditování je ve výchozím nastavení vypnuté pro všechny organizace Azure DevOps Services a dá se zapnout a vypnout pomocí vlastníků organizace a kolekce projektů Správa istrátory na stránce Organizace Nastavení. Ve výchozím nastavení jsou kolekce projektů Správa istrátory jedinou skupinou, která má úplný přístup k funkci auditování.
Oprávnění auditu
- Ve výchozím nastavení mají členové skupiny Vlastníci organizace a Kolekce projektů Správa istrátory úplný přístup ke všem funkcím auditování.
- Konkrétní oprávnění auditu se dají udělit libovolné skupině prostřednictvím stránky Oprávnění zabezpečení v Nastavení organizace.
Poznámka:
Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, uživatelé přidaní do skupiny Uživatelé s oborem projektu nemůžou zobrazit auditování a mají omezenou viditelnost na stránkách nastavení organizace. Další informace a důležité zmínky související se zabezpečením najdete v tématu Správa organizace, Omezení viditelnosti uživatelů pro projekty a další.
Povolení a zakázání auditování
Přihlaste se ke své organizaci (
https://dev.azure.com/{yourorganization}).Vyberte
Nastavení organizace.V záhlaví Zabezpečení vyberte zásady.
Přepněte tlačítko Události auditu protokolu zapnuto.
Organizace teď bude mít povolené auditování. Možná budete muset stránku aktualizovat, aby se na bočním panelu zobrazilo auditování . Události auditu se začnou zobrazovat v protokolech auditování a prostřednictvím všech nakonfigurovaných datových proudů auditu.
- Pokud už nechcete přijímat události auditování, přepněte tlačítko Povolit auditování na vypnuto. Po vypnutí tlačítka se stránka Auditování už na bočním panelu nezobrazí a stránka Protokoly auditování nebude dostupná. Všechny streamy auditu přestanou přijímat události.
Auditování přístupu
Přihlaste se ke své organizaci (
https://dev.azure.com/{yourorganization}).Vyberte
Nastavení organizace.
Vyberte Auditování.
Pokud v nastavení organizace nevidíte auditování, nemáte přístup k zobrazení událostí auditu. Skupina kolekcí projektů Správa istrátory může udělit oprávnění ostatním uživatelům a skupinám, aby mohli zobrazit stránky auditování. Uděláte to tak, že vyberete Oprávnění a pak skupinu nebo uživatele vyhledáte, abyste mohli poskytnout přístup k auditování.
Nastavte možnost Zobrazit protokol auditu, který chcete povolit, a pak vyberte Uložit změny.
Uživatelé nebo členové skupiny teď budou mít přístup k zobrazení událostí auditu vaší organizace.
Kontrola protokolu auditu
Stránka Auditování poskytuje jednoduché zobrazení událostí auditu zaznamenaných pro vaši organizaci. Podívejte se na následující popis informací, které jsou viditelné na stránce auditování:
Auditovat informace a podrobnosti o událostech
| Informace | Detaily |
|---|---|
| Actor (Herec/herečka) | Zobrazovaný název jednotlivce, který aktivoval událost auditu. |
| IP | IP adresa jednotlivce, který aktivoval událost auditu. |
| Časové razítko | Čas, kdy k aktivované události došlo. Čas je lokalizovaný do vašeho časového pásma. |
| Plocha | Oblast produktu v Azure DevOps, kde k události došlo. |
| Kategorie | Popis typu akce, ke které došlo (například úprava, přejmenování, vytvoření, odstranění, odebrání, spuštění a událost přístupu). |
| Detaily | Stručný popis toho, co se během události stalo. |
Každá událost auditu také zaznamenává další informace o tom, co je možné zobrazit na stránce auditování. Tyto informace zahrnují mechanismus ověřování, ID korelace pro propojení podobných událostí, uživatelského agenta a další data v závislosti na typu události auditu. Tyto informace je možné zobrazit pouze exportem událostí auditování prostřednictvím CSV nebo JSON.
ID a ID korelace
Každá událost auditu má jedinečné identifikátory označované jako "ID" a "CorrelationID". ID korelace je užitečné při hledání souvisejících událostí auditu. Například vytvořený projekt může vygenerovat několik desítek událostí auditu. Tyto události můžete propojit dohromady, protože všechny mají stejné ID korelace.
Když ID události auditu odpovídá ID korelace, znamená to, že událost auditu je nadřazená nebo původní událost. Pokud chcete zobrazit pouze původní události, vyhledejte události, ve kterých se ID rovná příslušnému ID korelace. Pokud pak chcete prozkoumat událost a související události, můžete vyhledat všechny události s ID korelace, které odpovídá ID původní události. Ne všechny události mají související události.
Hromadné události
Některé události auditu můžou obsahovat několik akcí, které proběhly najednou, označované také jako "hromadné události auditu". Tyto události můžete odlišit od ostatních pomocí ikony Informace úplně vpravo od události. Jednotlivé podrobnosti o akcích zahrnutých v událostech hromadného auditu najdete prostřednictvím stažených dat auditu.
Výběrem ikony informací se zobrazí další informace o tom, co se stalo v této události auditu.
Při procházení událostí auditu můžete najít sloupce Kategorie a Oblast , které vás zajímají. Tyto sloupce umožňují procházet, abyste našli pouze typy událostí, které vás zajímají. Následující tabulky jsou seznamem kategorií a oblastí a jejich popisy:
Seznam událostí
Snažíme se přidat nové události auditování měsíčně. Pokud chcete vidět událost, která není aktuálně sledována, zvažte sdílení této události v komunitě vývojářů.
Úplný seznam všech událostí, které aktuálně můžeme vygenerovat prostřednictvím funkce Auditování, najdete v seznamu událostí auditování.
Poznámka:
Chcete zjistit, které oblasti událostí vaše organizace protokoluje? Nezapomeňte si prohlédnout rozhraní API pro dotazování protokolu auditu: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsnahraďte {YOUR_ORGANIZATION} názvem vaší organizace. Toto rozhraní API vrátí seznam všech událostí auditu (nebo akcí), které může vaše organizace generovat.
Filtrování protokolu auditu podle data a času
V aktuálním uživatelském rozhraní auditování můžete filtrovat pouze události podle data nebo časového rozsahu. Pokud chcete omezit rozsah zobrazitelných událostí auditu podle rozsahu kalendářních dat, vyberte filtr času na pravé horní straně stránky.
Filtry slouží k výběru libovolného časového rozsahu za posledních 90 dnů a jeho rozsahu až do minuty. Jakmile vyberete časový rozsah, výběrem možnosti Použít u selektoru časového rozsahu zahájíte hledání. Ve výchozím nastavení se pro tento výběr času vrátí prvních 200 výsledků. Pokud jsou k dispozici další výsledky, můžete je posunout dolů a načíst je na stránku.
Export událostí auditování
Pokud chcete provést podrobnější vyhledávání dat auditování nebo ukládat data po dobu delší než 90 dnů, budete muset exportovat existující události auditu. Exportovaná data pak mohou být uložena v jiném umístění nebo službě.
Vyberte tlačítko Stáhnout v pravém horním rohu stránky auditování a exportujte události auditování. Můžete vybrat, jestli chcete soubor CSV nebo JSON stáhnout.
Výběrem některé z možností spustíte stahování. Události se stáhnou podle časového rozsahu, který jste vybrali ve filtru. Pokud jste vybrali jeden den, získáte vrácená data za jeden den. Pokud jste chtěli všech 90 dní, vyberte z filtru časového rozsahu 90 dní a spusťte stahování.
Poznámka:
V případě dlouhodobého ukládání a analýzy událostí auditování zvažte odesílání událostí do nástroje pro správu událostí zabezpečení a správy událostí (SIEM) pomocí funkce Streamování auditu. Export protokolů auditování se doporučuje pro analýzu kurzorových dat.
Pokud chcete filtrovat data podle více než data a časového rozsahu, doporučujeme stáhnout protokoly jako soubory CSV a importovat microsoft Excel nebo jiné analyzátory CSV, které se mají převést do sloupců Oblast a Kategorie. Pro analýzu ještě větších datových sad doporučujeme nahrát exportované události auditu do nástroje Pro správu událostí a incidentů zabezpečení (SIEM) pomocí funkce Audit Streaming. Tyto nástroje umožňují uchovávat události, vyhledávání, vygenerované sestavy a nakonfigurovaná upozornění na základě událostí auditu delší než 90 dnů.
Omezení
Pro to, co je možné auditovat, existují následující omezení.
- Změny členství ve skupinách Microsoft Entra – Protokoly auditování zahrnují aktualizace skupin Azure DevOps a členství ve skupinách (pokud je oblast událostí Skupina). Pokud ale spravujete členství prostřednictvím skupin Microsoft Entra, tyto doplňky a odebrání uživatelů z těchto skupin Microsoft Entra nejsou v těchto protokolech auditovány službou Azure DevOps. Zkontrolujte protokoly auditu Microsoft Entra a zjistěte, kdy byl uživatel nebo skupina přidány nebo odebrány ze skupiny Microsoft Entra.
- Události přihlášení – Nesledujeme události přihlášení pro Azure DevOps. Prohlédněte si protokoly auditu Microsoft Entra a zkontrolujte události přihlášení k vašemu ID Microsoft Entra.
Nejčastější dotazy
Otázka: Co je skupina DirectoryServiceAddMember a proč se zobrazuje v protokolu auditu?
A: Skupina DirectoryServiceAddMember je systémová skupina, která pomáhá spravovat členství ve vaší organizaci Azure DevOps. Členství v této systémové skupině může být ovlivněno mnoha akcemi systému, uživatele a správy. Vzhledem k tomu, že tato skupina je systémová skupina používaná pouze pro interní procesy, můžou zákazníci ignorovat položky protokolu auditu, které zaznamenávají změny členství v této skupině.
Související články
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro