Compartir a través de


Audit Log - Query

Consultas entradas del registro de auditoría

GET https://auditservice.dev.azure.com/{organization}/_apis/audit/auditlog?api-version=7.1-preview.1
GET https://auditservice.dev.azure.com/{organization}/_apis/audit/auditlog?startTime={startTime}&endTime={endTime}&batchSize={batchSize}&continuationToken={continuationToken}&skipAggregation={skipAggregation}&api-version=7.1-preview.1

Parámetros de identificador URI

Nombre En Requerido Tipo Description
organization
path

string

El nombre de la organización de Azure DevOps.

api-version
query True

string

Versión de la API que se va a usar. Debe establecerse en "7.1-preview.1" para usar esta versión de la API.

batchSize
query

integer

int32

Número máximo de resultados que se van a devolver. Opcional

continuationToken
query

string

Token usado para devolver el siguiente conjunto de resultados de la consulta anterior. Opcional

endTime
query

string

date-time

Hora de finalización de la ventana de descarga. Opcional

skipAggregation
query

boolean

Omite la agregación de eventos y los deja como entradas individuales en su lugar. De forma predeterminada, los eventos se agregan. Tipos de eventos agregados: AuditLog.AccessLog.

startTime
query

string

date-time

Hora de inicio de la ventana de descarga. Opcional

Respuestas

Nombre Tipo Description
200 OK

AuditLogQueryResult

operación correcta

Seguridad

oauth2

Type: oauth2
Flow: accessCode
Authorization URL: https://app.vssps.visualstudio.com/oauth2/authorize&response_type=Assertion
Token URL: https://app.vssps.visualstudio.com/oauth2/token?client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer

Scopes

Nombre Description
vso.auditlog Concede la capacidad de leer los flujos de auditoría y registro de auditoría a los usuarios.

Ejemplos

By date

Sample Request

GET https://auditservice.dev.azure.com/_apis/audit/auditlog?startTime=2019-03-04T14:05:59.928Z&endTime=2019-03-05T14:05:59.928Z&batchSize=2&api-version=7.1-preview.1

Sample Response

{
  "value": {
    "decoratedAuditLogEntries": [
      {
        "id": "2518505060978539161;00000064-0000-8888-8000-000000000000;86fbe369-3f5d-4f52-9ab0-3be7db271948",
        "correlationId": "86fbe369-3f5d-4f52-9ab0-3be7db271948",
        "activityId": "033fde68-f713-4984-b24f-8d7a73d1ade6",
        "actorCUID": "a718550e-4777-4058-8298-bff88d0cb524",
        "actorUserId": "d6a98b6c-6932-485c-a986-aea9fc981df0",
        "authenticationMechanism": "FedAuth",
        "timestamp": "2019-03-05T14:05:02.1460838+00:00",
        "scopeType": "organization",
        "scopeDisplayName": "fabrikam (Organization)",
        "scopeId": "73638cd5-0dda-4128-9fd6-48c16d4e4de3",
        "ipAddress": "167.220.148.131",
        "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.119 Safari/537.36",
        "actionId": "AuditLog.AccessLog",
        "data": {
          "Filter": {
            "StartTime": "2019-03-04T14:05:59.928Z",
            "EndTime": "2019-03-05T14:05:59.928Z",
            "ContinuationToken": null,
            "BatchSize": 2,
            "HasMore": true
          },
          "EventSummary": [
            "2019-03-05T14:05:02.1460838+00:00",
            "2019-03-05T13:59:40.4899467+00:00",
            "2019-03-05T13:58:13.159128+00:00"
          ]
        },
        "details": "Accessed the audit log 3 times",
        "area": "Auditing",
        "category": "access",
        "categoryDisplayName": "Access",
        "actorDisplayName": "Norman Paulk",
        "actorImageUrl": "https://dev.azure.com/fabrikam/_apis/GraphProfile/MemberAvatars/aad.NzdhMTNiN2MtYjIxNy03NDc4LWIxMjItYTlhMTU5YTFlNWQw"
      },
      {
        "id": "2518505063644965580;00000002-0000-8888-8000-000000000000;198b13cf-5201-48e8-acef-0d8bb2d9e815",
        "correlationId": "57f825b4-a940-44a3-a3cc-25cdb9871107",
        "activityId": "01abe2fd-deee-4a47-b35f-dff3edc059a4",
        "actorCUID": "00000000-0000-0000-0000-000000000000",
        "actorUserId": "00000002-0000-8888-8000-000000000000",
        "authenticationMechanism": "",
        "timestamp": "2019-03-05T14:00:35.5034419+00:00",
        "scopeType": "organization",
        "scopeDisplayName": "fabrikam (Organization)",
        "scopeId": "73638cd5-0dda-4128-9fd6-48c16d4e4de3",
        "ipAddress": null,
        "userAgent": "",
        "actionId": "Project.CreateCompleted",
        "data": {
          "ProjectId": "2e0ffea5-d693-4711-862c-94393bacadcb",
          "ProjectName": "fabrikam-fiber-git",
          "ProcessTemplate": "Agile",
          "ProjectVisibility": "Private"
        },
        "details": "fabrikam-fiber-git project was created successfully",
        "area": "Project",
        "category": "create",
        "categoryDisplayName": "Create",
        "actorDisplayName": "Azure DevOps Service",
        "actorImageUrl": null
      }
    ],
    "continuationToken": "2518505063644965580;00000002-0000-8888-8000-000000000000;198b13cf-5201-48e8-acef-0d8bb2d9e815",
    "hasMore": false
  }
}

Definiciones

Nombre Description
AuditActionCategory

Tipo de acción ejecutada

AuditLogQueryResult

Objeto devuelto cuando se consulta el registro de auditoría. Contiene el registro y la información necesaria para consultar más entradas de auditoría.

AuditScopeType

El tipo del ámbito (la organización solo es el ámbito admitido actualmente)

DecoratedAuditLogEntry

AuditActionCategory

Tipo de acción ejecutada

Nombre Tipo Description
access

string

Se ha accedido a un artefacto

create

string

Se ha creado un artefacto

execute

string

Se ha ejecutado un artefacto

modify

string

Se ha modificado un artefacto

remove

string

Se ha quitado un artefacto

unknown

string

No se conoce la categoría

AuditLogQueryResult

Objeto devuelto cuando se consulta el registro de auditoría. Contiene el registro y la información necesaria para consultar más entradas de auditoría.

Nombre Tipo Description
continuationToken

string

Token de continuación que se va a pasar para obtener el siguiente conjunto de resultados.

decoratedAuditLogEntries

DecoratedAuditLogEntry[]

Lista de entradas del registro de auditoría

hasMore

boolean

True cuando hay más resultados coincidentes que se van a capturar; de lo contrario, false.

AuditScopeType

El tipo del ámbito (la organización solo es el ámbito admitido actualmente)

Nombre Tipo Description
deployment

string

Implementación

enterprise

string

Enterprise

organization

string

Organización

project

string

Project

unknown

string

El ámbito no se conoce o no se ha establecido

DecoratedAuditLogEntry

Nombre Tipo Description
actionId

string

Identificador de acción del evento, es decir, Git.CreateRepo, Project.RenameProject

activityId

string

ActivityId

actorCUID

string

CUID del actor

actorClientId

string

Identificador de cliente del actor (si el actor es una entidad de servicio)

actorDisplayName

string

DisplayName del usuario que inició la acción

actorImageUrl

string

Dirección URL de la imagen de perfil del actor

actorUPN

string

UPN del actor

actorUserId

string

Identificador de usuario del actor (si el actor es un usuario)

area

string

Área de Azure DevOps en la que se produjo la acción

authenticationMechanism

string

Tipo de autenticación utilizado por el actor

category

AuditActionCategory

Tipo de acción ejecutada

categoryDisplayName

string

DisplayName de la categoría

correlationId

string

Esto permite agrupar las entradas de auditoría relacionadas. Por lo general, esto ocurre cuando una sola acción provoca una cascada de entradas de auditoría. Por ejemplo, creación de proyectos.

data

object

Datos externos, como CUID, nombres de elemento, etc.

details

string

Detalles representativos

id

string

EventId: debe ser único por servicio.

ipAddress

string

Dirección IP donde se originó el evento

projectId

string

Cuando se especifica, el identificador del proyecto al que está asociado este evento

projectName

string

Cuando se especifica, el nombre del proyecto al que está asociado este evento

scopeDisplayName

string

DisplayName del ámbito

scopeId

string

El identificador de organización (la organización es el único ámbito admitido actualmente)

scopeType

AuditScopeType

El tipo del ámbito (la organización solo es el ámbito admitido actualmente)

timestamp

string

Hora a la que se produjo el evento en FORMATO UTC

userAgent

string

El agente de usuario de la solicitud