Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen

Azure DevOps Services | Azure DevOps Server 2022

Hinweis

Die Überwachung befindet sich weiterhin in der öffentlichen Vorschau.

Auf der Seite "Überwachung" Ihrer Organisationseinstellungen können Sie auf Überwachungsprotokolle zugreifen, exportieren und filtern, die die vielen Änderungen nachverfolgen, die in Ihrer Azure DevOps-Organisation auftreten. Mit diesen Protokollen können Sie sie verwenden, um die Compliance- und Governanceziele Ihrer Organisation zu erfüllen.

Wichtig

Die Überwachung ist nur für Organisationen verfügbar, die von Azure Active Directory unterstützt werden. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation mit Azure Active Directory.

Überwachungsänderungen treten auf, wenn ein Benutzer oder eine Dienstidentität innerhalb der Organisation den Status eines Artefaktes bearbeitet. Es werden möglicherweise Ereignisse angezeigt, die für eins der folgenden Vorkommen protokolliert werden:

  • Berechtigungsänderungen
  • gelöschte Ressourcen
  • Änderungen der Verzweigungsrichtlinie
  • Überwachungsprotokollzugriff und Downloads
  • und vieles mehr...

Ereignisse werden für 90 Tage gespeichert, nachdem sie gelöscht wurden. Sie können Überwachungsereignisse jedoch an einem externen Speicherort sichern, um die Daten länger als der 90-Tage-Zeitraum beizubehalten.

Auf Überwachungsereignisse können über zwei Methoden auf der Seite "Überwachung" in den Organisationseinstellungen zugegriffen werden:

  • Über die Überwachungsprotokolle, die unter der Hauptregisterkarte "Protokolle" verfügbar sind, und
  • über alle Überwachungsdatenströme, die über die Registerkarte "Streams " eingerichtet sind.

Hinweis

Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Es ist möglich, einen Überwachungsdatenstrom von einer Azure DevOps Services Instanz mit einer lokalen oder cloudbasierten Instanz von Splunk zu verbinden, aber Sie müssen sicherstellen, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Ausführliche Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.

Voraussetzungen

Die Überwachung ist standardmäßig für alle Azure DevOps Services Organisationen deaktiviert und kann von Organisationsbesitzern und Projektsammlungsadministratoren auf der Seite "Organisationseinstellungen" aktiviert und deaktiviert werden. Standardmäßig sind Project-Sammlungsadministratoren die einzige Gruppe, die vollständigen Zugriff auf das Überwachungsfeature hat.

Überwachen von Berechtigungen

  • Standardmäßig haben Mitglieder der Gruppen "Besitzer " und "Projektsammlungsadministratoren " den vollständigen Zugriff auf alle Überwachungsfeatures.
  • Bestimmte Überwachungsberechtigungen können jeder Gruppe über die Seite "Sicherheitsberechtigungen" in den Organisationseinstellungen erteilt werden.

Hinweis

Wenn die Benutzersichtbarkeit und die Zusammenarbeit auf bestimmte Projektvorschaufeatures für die Organisation aktiviert ist, können Benutzer, die der Gruppe "Project-Bereichsbenutzer " hinzugefügt wurden, die Überwachung nicht anzeigen und eingeschränkte Sichtbarkeit auf Organisationseinstellungenseiten haben. Weitere Informationen finden Sie unter "Verwalten Ihrer Organisation", "Benutzersichtbarkeit für Projekte einschränken" und vieles mehr.

Aktivieren und Deaktivieren der Überwachung

  1. Melden Sie sich bei Ihrer Organisation an (https://dev.azure.com/{yourorganization}).

  2. Wählen Sie Organisationseinstellungen" aus.

  3. Wählen Sie "Richtlinien " unter dem Sicherheitsheader aus.

  4. Umschalten der Schaltfläche "Überwachungsereignisse protokollieren " ein.

    Screenshot der aktivierten Überwachungsrichtlinie.

Die Organisation hat jetzt die Überwachung aktiviert. Möglicherweise müssen Sie die Seite aktualisieren, um die Überwachung in der Randleiste anzuzeigen. Überwachungsereignisse werden in Überwachungsprotokollen und über alle Überwachungsdatenströme angezeigt, die konfiguriert wurden.

  1. Wenn Sie keine Überwachungsereignisse mehr empfangen möchten, deaktivieren Sie die Schaltfläche " Überwachung aktivieren " auf "DEAKTIVIEREN". Wenn die Schaltfläche deaktiviert ist, wird die Überwachungsseite nicht mehr in der Randleiste angezeigt, und die Seite "Überwachungsprotokolle" ist nicht verfügbar. Alle Überwachungsdatenströme beenden den Empfang von Ereignissen.

Zugriffsüberwachung

  1. Melden Sie sich bei Ihrer Organisation an (https://dev.azure.com/{yourorganization}).

  2. Wählen Sie Organisationseinstellungen" aus.

    Screenshot mit hervorgehobener Schaltfläche

  3. Wählen Sie "Überwachung" aus.

    Überwachungsvorschauseite

  4. Wenn die Überwachung in den Organisationseinstellungen nicht angezeigt wird, haben Sie keinen Zugriff auf überwachungsereignisse. Die Gruppe "Projektsammlungsadministratoren" kann anderen Benutzern und Gruppen Berechtigungen erteilen, damit sie die Überwachungsseiten anzeigen können. Wählen Sie dazu Berechtigungen aus, und suchen Sie dann nach der Gruppe oder den Benutzern, auf die der Überwachungszugriff bereitgestellt werden soll.

    Screenshot der Registerkarte

  5. Legen Sie das Überwachungsprotokoll "Ansicht " fest, um dies zuzulassen, und wählen Sie dann "Änderungen speichern" aus.

    Screenshot der Vorschau der Überwachungszugriffsberechtigung.

Die Benutzer- oder Gruppenmitglieder haben nun Zugriff auf die Überwachungsereignisse Ihrer Organisation.

Überprüfen des Überwachungsprotokolls

Auf der Seite "Überwachung" finden Sie eine einfache Ansicht in den Überwachungsereignissen, die für Ihre Organisation aufgezeichnet werden. Siehe die folgende Beschreibung der Informationen, die auf der Überwachungsseite sichtbar sind:

Überwachungsereignisinformationen und Details

Information Details
Akteur Anzeigename der Person, die das Überwachungsereignis ausgelöst hat.
IP IP-Adresse der Person, die das Überwachungsereignis ausgelöst hat.
Timestamp Zeitpunkt, zu dem das ausgelöste Ereignis aufgetreten ist. Die Zeit wird Ihrer Zeitzone angepasst.
Bereich Produktbereich in Azure DevOps, in dem das Ereignis aufgetreten ist.
Category Beschreibung der Art der Aktion, die aufgetreten ist (z. B. Ändern, Umbenennen, Erstellen, Löschen, Entfernen, Ausführen und Zugriffsereignis).
Details Kurze Beschreibung der Vorgänge während des Ereignisses.

Jedes Überwachungsereignis zeichnet auch zusätzliche Informationen auf, die auf der Überwachungsseite zu sehen sind. Diese Informationen umfassen den Authentifizierungsmechanismus, eine Korrelations-ID, um ähnliche Ereignisse zusammen, Benutzer-Agent und weitere Daten je nach Überwachungsereignistyp zu verknüpfen. Diese Informationen können nur durch den Export der Überwachungsereignisse über CSV oder JSON angezeigt werden.

ID-Korrelations-ID &

Jedes Überwachungsereignis verfügt über eindeutige Bezeichner namens "ID" und "KorrelationID". Die Korrelations-ID ist hilfreich, um verwandte Überwachungsereignisse zu finden. Beispielsweise kann ein erstelltes Projekt mehrere Dutzend Überwachungsereignisse generieren. Sie können diese Ereignisse zusammen verknüpfen, da sie alle über dieselbe Korrelations-ID verfügen.

Wenn eine Überwachungsereignis-ID mit der Korrelations-ID übereinstimmt, gibt es an, dass das Überwachungsereignis das übergeordnete oder ursprüngliche Ereignis ist. Um nur ursprungsbezogene Ereignisse anzuzeigen, suchen Sie nach den Ereignissen, in denen "ID" der betreffenden "Korrelations-ID" entspricht. Wenn Sie dann ein Ereignis und dessen verwandte Ereignisse untersuchen möchten, können Sie alle Ereignisse mit einer Korrelations-ID nachschlagen, die der ID des ursprünglichen Ereignisses entspricht. Nicht alle Ereignisse verfügen über verwandte Ereignisse.

Massenereignisse

Einige Überwachungsereignisse können mehrere Aktionen enthalten, die gleichzeitig ausgeführt wurden, auch als "Massenüberwachungsereignisse" bezeichnet. Sie können diese Ereignisse von anderen mit einem "Informationssymbol" rechts neben dem Ereignis unterscheiden. Sie können einzelne Details zu den Aktionen finden, die in den Massenüberwachungsereignissen über die heruntergeladenen Überwachungsdaten enthalten sind.

Weitere Informationen überwachen

Das Auswählen des Informationssymbols zeigt zusätzliche Informationen zu dem, was in diesem Überwachungsereignis passiert ist.

Während Sie die Überwachungsereignisse durchsuchen, finden Sie möglicherweise die Spalten "Kategorie " und "Bereich " von Interesse. Diese Spalten ermöglichen es Ihnen, nur die Typen von Ereignissen zu finden, die Sie interessieren. Die folgenden Tabellen sind eine Liste der Kategorien und Bereiche und deren Beschreibungen:

Liste der Ereignisse

Wir versuchen unser Bestes, neue Überwachungsereignisse monatlich hinzuzufügen. Wenn Sie ein Ereignis sehen möchten, das derzeit nicht nachverfolgt wird, sollten Sie dies mit uns in der Entwicklercommunity teilen.

Eine vollständige Liste aller Ereignisse, die derzeit über das Überwachungsfeature ausgegeben werden können, finden Sie in der Überwachungsereignisseliste.

Hinweis

Möchten Sie herausfinden, welche Ereignisbereiche Ihre Organisation protokolliert? Achten Sie darauf, die Überwachungsprotokollabfrage-API auszuchecken: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsErsetzen Sie {YOUR_ORGANIZATION} durch den Namen Ihrer Organisation. Diese API gibt eine Liste aller Überwachungsereignisse (oder Aktionen) zurück, die Ihre Organisation senden könnte.

Filtern des Überwachungsprotokolls nach Datum und Uhrzeit

In der aktuellen Überwachungs-Benutzeroberfläche können Sie nur Ereignisse nach einem Datums- oder Uhrzeitbereich filtern. Um die anzeigebaren Überwachungsereignisse nach einem Datumsbereich zu erweitern, wählen Sie den Zeitfilter auf der oberen rechten Seite der Seite aus.

Überwachungseintragsfilter nach Datumszeit &

Verwenden Sie die Filter, um einen beliebigen Zeitbereich über die letzten 90 Tage auszuwählen und sie auf die Minute zu beschränken. Nachdem Sie einen Zeitbereich ausgewählt haben, wählen Sie "Anwenden" für den Zeitbereichsauswahl aus, um die Suche zu starten. Standardmäßig werden die oberen 200 Ergebnisse für diese Zeitauswahl zurückgegeben. Wenn weitere Ergebnisse vorhanden sind, können Sie nach unten scrollen, um sie auf die Seite zu laden.

Exportieren von Überwachungsereignissen

Wenn Sie eine detailliertere Suche nach den Überwachungsdaten durchführen oder Daten für mehr als 90 Tage Daten speichern möchten, müssen Sie vorhandene Überwachungsereignisse exportieren. Die exportierten Daten können dann an einem anderen Speicherort oder Dienst gespeichert werden.

Wählen Sie die Schaltfläche "Herunterladen " auf der oberen rechten Seite der Überwachungsseite aus, um Überwachungsereignisse zu exportieren. Sie können auswählen, dass sie als CSV- oder JSON-Datei heruntergeladen werden.

Durch Auswählen einer Option wird der Download gestartet. Ereignisse werden basierend auf dem Zeitbereich heruntergeladen, den Sie im Filter ausgewählt haben. Wenn Sie einen Tag ausgewählt haben, erhalten Sie einen Tag mehr Daten, die zurückgegeben werden. Wenn Sie alle 90 Tage möchten, wählen Sie 90 Tage aus dem Zeitbereichsfilter aus, und starten Sie dann den Download.

Hinweis

Für langfristige Speicherung und Analyse Ihrer Überwachungsereignisse sollten Sie Ihre Ereignisse nach einem Tool zur Sicherheitsinformationen- und Ereignisverwaltung (SIEM) mit dem Feature " Überwachungsstreaming" senden. Das Exportieren der Überwachungsprotokolle wird für die Cursordatenanalyse empfohlen.

Zum Filtern von Daten nach mehr als dem Datums-/Uhrzeitbereich empfehlen wir das Herunterladen von Protokollen als CSV-Dateien und das Importieren von Microsoft Excel oder anderen CSV-Parsern zum Durchsuchen von Bereichs- und Kategoriespalten. Für die Analyse auf noch größeren Datasets empfehlen wir das Hochladen exportierter Überwachungsereignisse in ein Tool für Sicherheitsvorfälle und Ereignisverwaltung (SIEM) mithilfe der Funktion "Überwachungsstreaming". Mit solchen Tools können Sie mehr als 90 Tage Ereignisse, Suchvorgänge, generierte Berichte und konfigurierte Warnungen basierend auf Überwachungsereignissen beibehalten.

Einschränkungen

Die folgenden Einschränkungen sind für die Überwachung vorhanden.

  • Azure Active Directory (Azure AD) Gruppenmitgliedschaftsänderungen – Überwachungsprotokolle umfassen Updates für Azure DevOps-Gruppen und Gruppenmitgliedschaft (wenn ein Ereignisbereich "Gruppen" ist). Wenn Sie die Mitgliedschaft jedoch über Azure AD-Gruppen verwalten, werden solche Ergänzungen und Entfernungen von Benutzern aus diesen Azure AD-Gruppen nicht von Azure DevOps in diesen Protokollen überwacht. Überprüfen Sie die Azure AD-Überwachungsprotokolle, um zu sehen, wann ein Benutzer oder eine Gruppe aus einer Azure AD-Gruppe hinzugefügt oder entfernt wurde.
  • Anmelden von Ereignissen – Wir verfolgen keine Anmeldeereignisse für Azure DevOps. Zeigen Sie die Azure AD-Überwachungsprotokolle an, um die Anmeldung bei Ihren Azure AD-Ereignissen zu überprüfen.

Häufig gestellte Fragen

F: Was ist die DirectoryServiceAddMember-Gruppe und warum wird sie im Überwachungsprotokoll angezeigt?

A: Die DirectoryServiceAddMember-Gruppe ist eine Systemgruppe, die verwendet wird, um die Mitgliedschaft in Ihrer Azure DevOps-Organisation zu verwalten. Die Mitgliedschaft in dieser Systemgruppe kann von vielen System-, Benutzer- und Verwaltungsaktionen betroffen sein. Da diese Gruppe nur für interne Prozesse verwendet wird, können Kunden Überwachungsprotokolleinträge ignorieren, die Mitgliedschaftsänderungen in dieser Gruppe erfassen.