Auditnaplók elérése, exportálása és szűrése
Azure DevOps Services
Feljegyzés
A naplózás továbbra is nyilvános előzetes verzióban érhető el.
A tevékenységek nyomon követése az Azure DevOps-környezetben elengedhetetlen a biztonság és a megfelelőség szempontjából. A naplózás segít ezeknek a tevékenységeknek a monitorozásában és naplózásában, ami átláthatóságot és elszámoltathatóságot biztosít. Ez a cikk ismerteti a naplózási funkciókat, és bemutatja, hogyan állíthatja be és használhatja hatékonyan.
Fontos
A naplózás csak a Microsoft Entra ID által támogatott szervezetek számára érhető el. További információ: A szervezet csatlakoztatása a Microsoft Entra-azonosítóhoz.
A naplózási változások akkor fordulnak elő, ha egy felhasználó vagy szolgáltatás identitása a szervezeten belül módosítja egy összetevő állapotát. A naplózott események közé tartozhatnak a következők:
- Engedélyek módosítása
- Törölt erőforrások
- Fiókházirend-módosítások
- Naplóhozzáférés és letöltések
- Számos más típusú módosítás
Ezek a naplók átfogó nyilvántartást nyújtanak a tevékenységekről, így nyomon követheti és kezelheti az Azure DevOps-szervezet biztonságát és megfelelőségét.
A naplózási események 90 napig vannak tárolva a törlésük előtt. Ha hosszabb ideig szeretné megőrizni az adatokat, biztonsági másolatot készíthet a naplózási eseményekről egy külső helyre.
Feljegyzés
A naplózás nem érhető el az Azure DevOps Server helyszíni üzembe helyezéséhez. Az Azure DevOps Services-példányból származó naplózási streameket azonban csatlakoztathatja egy helyszíni vagy felhőalapú Splunk-példányhoz. Győződjön meg arról, hogy engedélyezi a bejövő kapcsolatok IP-tartományait. További információ: Engedélyezett címlisták és hálózati kapcsolatok, IP-címek és tartománykorlátozások.
Előfeltételek
A naplózás alapértelmezés szerint ki van kapcsolva minden Azure DevOps Services-szervezet esetében.
Engedélyek:
- A naplózás engedélyezéséhez a Projektgyűjteménygazdák csoport tagjának kell lennie. A szervezettulajdonosok automatikusan ennek a csoportnak a tagjai.
- Adott naplózási engedélyek megadása bármely csoportnak a Szervezeti beállítások Biztonsági > engedélyek lapján keresztül. Ez a művelet lehetővé teszi az auditnaplók megtekintésére és kezelésére jogosult személyek rugalmas kezelését, biztosítva, hogy csak az arra jogosult személyzet férhessen hozzá a bizalmas naplózási információkhoz.
Feljegyzés
Ha a felhasználó láthatóságának és együttműködésének korlátozása adott projektekhez – előzetes verziójú funkció engedélyezve van a szervezet számára, a Projekt hatókörű felhasználók csoport felhasználói nem tekinthetik meg a naplózást, és korlátozottan láthatják a Szervezeti beállítások lapokat. További információkért és a biztonsággal kapcsolatos fontos részletekért lásd : A szervezet kezelése, A projektek felhasználói láthatóságának korlátozása stb.
Naplózás engedélyezése és letiltása
Jelentkezzen be a szervezetébe (
https://dev.azure.com/{yourorganization}).Válassza a
Szervezeti beállítások lehetőséget.Válassza a Szabályzatok lehetőséget a Biztonsági fejléc alatt.
Kapcsolja be a Naplónapló-események gombot a BE gombra.
A naplózás engedélyezve van a szervezet számára. Frissítse a lapot, hogy a naplózás megjelenjen az oldalsávon. A naplózási események megjelennek a naplózási naplókban és a konfigurált naplózási streameken keresztül.
Ha már nem szeretne naplózási eseményeket fogadni, kapcsolja ki a Naplózás engedélyezése gombot. Ez a művelet eltávolítja a naplózási lapot az oldalsávról, és elérhetetlenné teszi a Naplózási naplók lapot. A naplózási streamek nem fogadnak eseményeket.
Hozzáférés naplózásához
Jelentkezzen be a szervezetébe (
https://dev.azure.com/{yourorganization}).Válassza a
Szervezeti beállítások lehetőséget.
Válassza a Naplózás lehetőséget.
Ha nem látja a naplózást a Szervezeti beállítások között, akkor nincs hozzáférése a naplózási események megtekintéséhez. A Projektcsoportgazdák csoport engedélyeket adhat más felhasználóknak és csoportoknak, hogy megtekinthesse a naplózási lapokat. Ehhez válassza az Engedélyek lehetőséget, majd keresse meg azt a csoportot vagy felhasználókat, amelyhez naplózási hozzáférést szeretne biztosítani.
Állítsa be az auditnapló megtekintésének engedélyezését, majd válassza a Módosítások mentése lehetőséget.
A felhasználó vagy csoporttagok hozzáférhetnek a szervezet naplózási eseményeinek megtekintéséhez.
Auditnapló áttekintése
A Naplózás lap egyszerű betekintést nyújt a szervezet számára rögzített naplózási eseményekbe. Tekintse meg a naplózási oldalon látható információk alábbi leírását:
Események adatainak és részleteinek naplózása
| Tájékoztatás | Részletek |
|---|---|
| Színész | A naplózási eseményt kiváltó személy megjelenített neve. |
| IP | A naplózási eseményt kiváltó személy IP-címe. |
| Időbélyegző | A kiváltott esemény bekövetkezésének időpontja. Az idő a helyi időzónában jelenik meg. |
| Terület | Az Azure DevOps azon termékterülete, ahol az esemény bekövetkezett. |
| Kategória | A végrehajtott művelet típusának leírása (például módosítás, átnevezés, létrehozás, törlés, eltávolítás, végrehajtás és hozzáférés esemény). |
| Részletek | Az esemény során történtek rövid leírása. |
Minden naplózási esemény további információkat is rögzít a naplózási oldalon megtekinthető adatok mellett. Ezek az információk tartalmazzák a hitelesítési mechanizmust, a hasonló események összekapcsolására szolgáló korrelációs azonosítót, a felhasználói ügynököt és a naplózási esemény típusától függően további adatokat. Ezeket az adatokat csak a naplózási események CSV vagy JSON formátumban történő exportálásával lehet megtekinteni.
ID > korrelációs azonosító
Minden auditesemény egyedi azonosítókkal rendelkezik, ID az and CorrelationID. A korrelációs azonosító hasznos a kapcsolódó naplózási események megkereséséhez. Egy projekt létrehozása például több tucat naplózási eseményt hozhat létre, amelyeket ugyanaz a korrelációs azonosító kapcsol össze.
Ha egy naplózási esemény azonosítója megegyezik a korrelációs azonosítójával, az azt jelzi, hogy a naplózási esemény a szülő vagy az eredeti esemény. Ha csak az eredeti eseményeket szeretné látni, keresse meg azokat az eseményeket, ahol az ID egyenlő a Correlation ID. Ha egy eseményt és annak kapcsolódó eseményeit szeretné kivizsgálni, keresse meg az összes eseményt az eredeti esemény azonosítójának megfelelő korrelációs azonosítóval. Nem minden eseményhez tartoznak kapcsolódó események.
Tömeges események
Egyes naplózási események, más néven "tömeges naplózási események" több, egyidejűleg végrehajtott műveletet is tartalmazhatnak. Ezeket az eseményeket az esemény jobb szélén található "Információ ikon" segítségével azonosíthatja. A tömeges naplózási eseményekben szereplő műveletek egyedi részleteinek megtekintéséhez tekintse meg a letöltött naplózási adatokat.
Az információ ikon kiválasztásával további részletek jelennek meg a naplózási eseményről.
A naplózási események áttekintése során a Kategória és a Terület oszlop segít szűrni és megkeresni az események adott típusait. Az alábbi táblázatok a kategóriákat és területeket, valamint azok leírását sorolják fel:
Események listája
Igyekszünk havi rendszerességgel új naplózási eseményeket hozzáadni. Ha olyan eseményt szeretne látni, amely jelenleg nem érhető el, ossza meg velünk javaslatát a fejlesztői közösségben.
A naplózási funkcióval kibocsátható összes esemény átfogó listájáért tekintse meg a Naplózási események listáját.
Feljegyzés
Szeretné megtudni, hogy milyen eseményterületeket naplóz a szervezet? Mindenképpen tekintse meg a Naplózási napló lekérdezési API-t: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsa(z) {YOUR_ORGANIZATION} helyére írja be a szervezet nevét. Ez az API a szervezet által kibocsátható összes auditesemény (vagy művelet) listáját adja vissza.
Naplózási napló szűrése dátum és idő szerint
Az aktuális naplózási felületen az eseményeket csak dátum vagy időtartomány szerint szűrheti.
A megtekinthető naplózási események szűkítéséhez válassza ki az időszűrőt.
A szűrőkkel tetszőleges időtartományt választhat ki az elmúlt 90 napban, és a hatókört percről percre szűkítheti. Miután kiválasztott egy időtartományt, a c
A keresés indításához válassza az Alkalmazás lehetőséget az időtartomány-választón. Alapértelmezés szerint az első 200 találat az adott idő kiválasztására ad vissza. Ha több találat van, görgetéssel további bejegyzéseket tölthet be a lapra.
Naplózási események exportálása
Ha részletesebb keresést szeretne végezni a naplózási adatokon, vagy több mint 90 napig szeretné tárolni az adatokat, exportálja a meglévő naplózási eseményeket. Az exportált adatokat egy másik helyen vagy szolgáltatásban is tárolhatja.
A naplózási események exportálásához kattintson a Letöltés gombra. Az adatokat CSV- vagy JSON-fájlként is letöltheti.
A letöltés a szűrőben kiválasztott időtartomány alapján tartalmaz eseményeket. Ha például egy napot választ ki, egy napnyi adatot kap. A 90 nap lekéréséhez válassza ki az időtartomány-szűrő 90 napját , majd indítsa el a letöltést.
Feljegyzés
A naplózási események hosszú távú tárolásához és elemzéséhez fontolja meg az Audit Streaming funkció használatát, hogy az eseményeket egy biztonsági információ- és eseménykezelési (SIEM) eszközre küldje. Javasoljuk, hogy exportálja a naplózási naplókat a kurzoros adatelemzéshez.
- A dátum-/időtartományon túli adatok szűréséhez töltse le a naplókat CSV-fájlként, és importálja őket a Microsoft Excelbe vagy más CSV-elemzőkbe a Terület és kategória oszlopok átszűréséhez.
- Nagyobb adathalmazok elemzéséhez töltse fel az exportált naplózási eseményeket egy biztonsági incidens- és eseménykezelési (SIEM) eszközbe a Naplózási streamelési függvény használatával. A SIEM-eszközök lehetővé teszik több mint 90 napnyi esemény megtartását, keresések végrehajtását, jelentések készítését és riasztások konfigurálását naplózási események alapján.
Korlátozások
A következő korlátozások vonatkoznak a naplózható műveletekre:
- Microsoft Entra-csoporttagság változásai: A naplózási naplók tartalmazzák az Azure DevOps-csoportok frissítéseit és a csoporttagságokat, amikor egy eseményterület van
Groups. Ha azonban Microsoft Entra-csoportokkal kezeli a tagságot, a microsoft Entra-csoportok felhasználóinak hozzáadása és eltávolítása nem szerepel ezekben a naplókban. Tekintse át a Microsoft Entra auditnaplóit, és ellenőrizze, hogy mikor lett hozzáadva vagy eltávolítva egy felhasználó vagy csoport egy Microsoft Entra-csoportból. - Bejelentkezési események: Az Azure DevOps nem követi nyomon a bejelentkezési eseményeket. A Microsoft Entra-azonosítóba való bejelentkezési események áttekintéséhez tekintse meg a Microsoft Entra auditnaplóit.
- Közvetett felhasználói kiegészítések: Bizonyos esetekben előfordulhat, hogy a felhasználók közvetetten hozzáadják a szervezethez, és az Azure DevOps Services által hozzáadott naplózási naplóban jelennek meg. Ha például egy felhasználó egy munkaelemhez van rendelve, előfordulhat, hogy a rendszer automatikusan hozzáadja őket a szervezethez. Bár a hozzáadott felhasználó számára naplózási esemény jön létre, a felhasználói hozzáadást kiváltó munkaelem-hozzárendeléshez nincs megfelelő naplózási esemény. Az események nyomon követéséhez vegye figyelembe a következő műveleteket:
- Tekintse át a munkaelem előzményeit a megfelelő időbélyegekhez, és ellenőrizze, hogy a felhasználó hozzá lett-e rendelve bármilyen munkaelemhez.
- Ellenőrizze az auditnaplóban az esetlegesen kontextust biztosító kapcsolódó eseményeket.
Gyakori kérdések
K: Mi a DirectoryServiceAddMember csoport, és miért jelenik meg az auditnaplóban?
Válasz: A DirectoryServiceAddMember csoport segít a szervezet tagságának kezelésében. Számos rendszer-, felhasználó- és rendszergazdai művelet befolyásolhatja a rendszercsoport tagságát. Mivel ezt a csoportot csak belső folyamatokhoz használják, figyelmen kívül hagyhatja a csoport tagsági módosításait rögzítő naplóbejegyzéseket.