Auditnaplók elérése, exportálása és szűrése
Azure DevOps Services
Megjegyzés:
A naplózás továbbra is nyilvános előzetes verzióban érhető el.
A szervezeti Gépház naplózási lapján hozzáférhet, exportálhat és szűrhet naplózási naplókat, amelyek nyomon követik az Azure DevOps-szervezet(ek) számos változását. Ezekkel a naplókkal megfelelhet a szervezet megfelelőségi és irányítási céljainak.
Fontos
A naplózás csak a Microsoft Entra ID által támogatott szervezetek számára érhető el. További információ: Csatlakozás szervezetét a Microsoft Entra-azonosítóra.
A naplózási változások akkor fordulnak elő, ha egy felhasználó vagy szolgáltatás identitása a szervezeten belül módosítja egy összetevő állapotát. Az alábbi események bármelyike naplózva lehet:
- engedélymódosítások
- törölt erőforrások
- fiókházirend-módosítások
- naplóhozzáférés naplózása és letöltése
- és még sok más...
Az eseményeket 90 napig tárolja a rendszer, azt követően törlődnek. Készíthet azonban biztonsági másolatot a naplózási eseményekről egy külső helyre, hogy az adatokat 90 napnál hosszabb ideig megtarthassa.
A naplózási események két módszerrel érhetők el a Szervezet Gépház naplózási oldalán:
- A fő naplók lapon elérhető naplózási naplókon keresztül, és
- a adatfolyamok lapon beállított naplózási adatfolyamokon keresztül.
Megjegyzés:
A naplózás nem érhető el az Azure DevOps Server helyszíni üzembe helyezéséhez. Az Azure DevOps Services-példányból származó naplózási stream csatlakoztatható egy helyszíni vagy felhőalapú Splunk-példányhoz, de meg kell győződnie arról, hogy engedélyezi a bejövő kapcsolatok IP-tartományait. További információ: Engedélyezett címlisták és hálózati kapcsolatok, IP-címek és tartománykorlátozások.
Előfeltételek
A naplózás alapértelmezés szerint ki van kapcsolva minden Azure DevOps Services-szervezetnél, és a Szervezet Gépház lapon a szervezettulajdonosok és a projektgyűjtemény Rendszergazda istratorok kapcsolhatják be és ki. Alapértelmezés szerint a Project Collection Rendszergazda istrators az egyetlen csoport, amely teljes hozzáféréssel rendelkezik a naplózási funkcióhoz.
Naplózási engedélyek
- Alapértelmezés szerint a tulajdonosi és projektcsoport-Rendszergazda istratorok csoport tagjai teljes hozzáféréssel rendelkeznek az összes naplózási funkcióhoz.
- A Szervezet Gépház Biztonsági engedélyek lapján bármely csoportnak megadható bizonyos naplózási engedélyek.
Megjegyzés:
Ha a felhasználó láthatóságának és együttműködésének korlátozása adott projektekhez – előzetes verziójú funkció engedélyezve van a szervezet számára, a Projekt hatókörű felhasználók csoporthoz felvett felhasználók nem tekinthetik meg a naplózást, és korlátozottan láthatják a Szervezeti beállítások lapokat. További információkért és a biztonsággal kapcsolatos fontos említésekért lásd : Szervezet kezelése, A projektek felhasználói láthatóságának korlátozása stb.
Naplózás engedélyezése és letiltása
Jelentkezzen be a szervezetbe (
https://dev.azure.com/{yourorganization}).Válassza a
Szervezeti beállítások lehetőséget.Válassza a Szabályzatok lehetőséget a Biztonsági fejléc alatt.
Kapcsolja be a Naplónapló-események gombot.
A szervezet mostantól engedélyezi a naplózást. Előfordulhat, hogy frissítenie kell a lapot, hogy a naplózás megjelenjen az oldalsávon. A naplózási események megjelennek a naplózási naplókban és a konfigurált naplózási adatfolyamokon keresztül.
- Ha már nem szeretne naplózási eseményeket fogadni, kapcsolja ki a Naplózás engedélyezése gombot. Ha a gomb ki van kapcsolva, a Naplózás lap többé nem jelenik meg az oldalsávon, és a Naplózási naplók lap nem lesz elérhető. A naplózási streamek nem fogadnak eseményeket.
Hozzáférés naplózásához
Jelentkezzen be a szervezetbe (
https://dev.azure.com/{yourorganization}).Válassza a
Szervezeti beállítások lehetőséget.
Válassza a Naplózás lehetőséget.
Ha nem látja a naplózást a Szervezeti beállítások között, akkor nincs hozzáférése a naplózási események megtekintéséhez. A Project Collection Rendszergazda istrators csoport engedélyeket adhat más felhasználóknak és csoportoknak, hogy megtekinthesse a naplózási lapokat. Ehhez válassza az Engedélyek lehetőséget, majd keresse meg azt a csoportot vagy felhasználókat, amelyhez naplózási hozzáférést szeretne biztosítani.
Állítsa be az auditnapló megtekintésének engedélyezését, majd válassza a Módosítások mentése lehetőséget.
A felhasználó vagy csoporttagok mostantól hozzáférhetnek a szervezet naplózási eseményeinek megtekintéséhez.
Auditnapló áttekintése
A Naplózás lap egyszerű betekintést nyújt a szervezet számára rögzített naplózási eseményekbe. Tekintse meg a naplózási oldalon látható információk alábbi leírását:
Események adatainak és részleteinek naplózása
| Information | Részletek |
|---|---|
| Actor | A naplózási eseményt kiváltó személy megjelenített neve. |
| IP | A naplózási eseményt kiváltó személy IP-címe. |
| Timestamp | A kiváltott esemény bekövetkezésének időpontja. Az idő a helyi időzónában jelenik meg. |
| Terület | Az Azure DevOps azon termékterülete, ahol az esemény bekövetkezett. |
| Kategória | A végrehajtott művelet típusának leírása (például módosítás, átnevezés, létrehozás, törlés, eltávolítás, végrehajtás és hozzáférés esemény). |
| Részletek | Az esemény során történtek rövid leírása. |
Minden naplózási esemény további információkat is rögzít a naplózási oldalon megtekinthető adatok mellett. Ezek az információk tartalmazzák a hitelesítési mechanizmust, a hasonló események összekapcsolására szolgáló korrelációs azonosítót, a felhasználói ügynököt és a naplózási esemény típusától függően további adatokat. Ezeket az adatokat csak a naplózási események CSV vagy JSON formátumban történő exportálásával lehet megtekinteni.
ID > korrelációs azonosító
Minden auditesemény egyedi azonosítókkal rendelkezik, úgynevezett "ID" és "CorrelationID". A korrelációs azonosító hasznos a kapcsolódó naplózási események megkereséséhez. Egy létrehozott projekt például több tucat naplózási eseményt hozhat létre. Ezeket az eseményeket összekapcsolhatja, mert mindegyik azonos korrelációs azonosítóval rendelkezik.
Ha egy naplózási esemény azonosítója megegyezik a korrelációs azonosítójával, az azt jelzi, hogy a naplózási esemény a szülő vagy az eredeti esemény. Ha csak a származó eseményeket szeretné megtekinteni, keresse meg azokat az eseményeket, ahol az "ID" megegyezik a kérdéses korrelációs azonosítóval. Ezután, ha egy eseményt és annak kapcsolódó eseményeit szeretné kivizsgálni, megkeresheti az összes eseményt egy korrelációs azonosítóval, amely megfelel az eredeti esemény azonosítójának. Nem minden eseményhez tartoznak kapcsolódó események.
Tömeges események
Egyes naplózási események egyszerre több műveletet is tartalmazhatnak, más néven "tömeges naplózási eseményeket". Ezeket az eseményeket megkülönböztetheti másoktól az esemény jobb szélén található "Információ ikonnal". A tömeges naplózási eseményekben szereplő műveletekre vonatkozó egyedi részleteket a letöltött naplózási adatokon keresztül találhatja meg.
Az információ ikon kiválasztásával további információk jelennek meg arról, hogy mi történt ebben a naplózási eseményben.
A naplózási eseményeket áttekintve megtalálhatja a kategória- és területoszlopokat. Ezek az oszlopok lehetővé teszik, hogy csak azokat az eseménytípusokat keresse meg, amelyek érdeklik. Az alábbi táblázatok a kategóriák és területek listáját, valamint azok leírását tartalmazzák:
Események listája
Igyekszünk havonta új naplózási eseményeket hozzáadni. Ha olyan eseményt szeretne látni, amelyet jelenleg nem követnek nyomon, vegye fontolóra, hogy megosztja velünk a fejlesztői közösségben.
A naplózási szolgáltatáson keresztül jelenleg kibocsátható összes esemény teljes listájáért tekintse meg a Naplózási események listáját.
Megjegyzés:
Szeretné megtudni, hogy milyen eseményterületeket naplóz a szervezet? Mindenképpen tekintse meg a Naplózási napló lekérdezési API-t: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsa(z) {YOUR_ORGANIZATION} helyére írja be a szervezet nevét. Ez az API a szervezet által kibocsátható összes auditesemény (vagy művelet) listáját adja vissza.
Naplózási napló szűrése dátum és idő szerint
Az aktuális naplózási felületen csak dátum vagy időtartomány szerint szűrheti az eseményeket. A megtekinthető naplózási események dátumtartomány szerinti hatókörének megállapításához válassza ki az időszűrőt a lap jobb felső részén.
A szűrőkkel tetszőleges időtartományt választhat ki az elmúlt 90 napban, és a hatókört a percekig szűkítheti. Miután kiválasztott egy időtartományt, a keresés elindításához válassza az Alkalmazás az időtartomány-választón lehetőséget. Alapértelmezés szerint a rendszer az adott időpontra vonatkozó 200 találatot adja vissza. Ha több találat is van, görgessen le, hogy betöltse őket az oldalra.
Naplózási események exportálása
A naplózási adatok részletesebb kereséséhez vagy az adatok több mint 90 napig történő tárolásához exportálnia kell a meglévő naplózási eseményeket. Az exportált adatok ezután egy másik helyen vagy szolgáltatásban tárolhatók.
A naplózási események exportálásához válassza a naplózási oldal jobb felső részén található Letöltés gombot. Kiválaszthatja, hogy CSV-fájlként vagy JSON-fájlként töltse le.
Bármelyik beállítás kiválasztása elindítja a letöltést. Az események a szűrőben kiválasztott időtartomány alapján töltődnek le. Ha egy nap van kiválasztva, akkor egy napnyi adatot ad vissza. Ha mind a 90 napot szeretné, válassza ki a 90 napot az időtartomány-szűrőből, majd indítsa el a letöltést.
Megjegyzés:
A naplózási események hosszú távú tárolásához és elemzéséhez érdemes lehet az eseményeket egy biztonsági információ- és eseménykezelési (SIEM) eszközre küldeni a naplózási streamelési funkcióval. A naplózási naplók exportálása a kurzoros adatelemzéshez ajánlott.
Ha a dátum/időtartománynál nagyobb adatszűrést szeretne, javasoljuk, hogy csV-fájlként töltse le a naplókat, és importálja a Microsoft Excelt vagy más CSV-elemzőket a Terület és kategória oszlopok átszűréséhez. A még nagyobb adathalmazok elemzéséhez javasoljuk, hogy töltsön fel exportált naplózási eseményeket egy biztonsági incidens- és eseménykezelési (SIEM) eszközbe a naplózási streamelési függvény használatával. Az ilyen eszközök lehetővé teszik, hogy 90 napnál több eseményt, keresést, generált jelentést és konfigurált riasztást tartson fenn a naplózási események alapján.
Korlátozások
Az alábbi korlátozások vonatkoznak a naplózható műveletekre.
- Microsoft Entra-csoporttagság módosítása – A naplózási naplók tartalmazzák az Azure DevOps-csoportok és a csoporttagság frissítéseit (ha egy eseményterület "Csoportok"). Ha azonban Microsoft Entra-csoportokon keresztül kezeli a tagságot, az Azure DevOps nem naplózza a felhasználók ilyen hozzáadását és eltávolítását az adott Microsoft Entra-csoportokból ezekben a naplókban. Tekintse át a Microsoft Entra auditnaplóit, és ellenőrizze, hogy mikor lett hozzáadva vagy eltávolítva egy felhasználó vagy csoport egy Microsoft Entra-csoportból.
- Bejelentkezési események – Nem követjük nyomon az Azure DevOps bejelentkezési eseményeit. Tekintse meg a Microsoft Entra auditnaplóit, és tekintse át a bejelentkezési eseményeket a Microsoft Entra-azonosítóra.
Gyakori kérdések
K: Mi a DirectoryServiceAddMember csoport, és miért jelenik meg az auditnaplóban?
Válasz: A DirectoryServiceAddMember csoport egy olyan rendszercsoport, amely segít kezelni az Azure DevOps-szervezet tagságát. A rendszercsoport tagságára számos rendszer-, felhasználó- és rendszergazdai művelet hatással lehet. Mivel ez a csoport csak belső folyamatokhoz használt rendszercsoport, az ügyfelek figyelmen kívül hagyhatják a csoport tagsági módosításait rögzítő naplóbejegyzéseket.
Related articles
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: