Bagikan melalui


Mengakses, mengekspor, dan memfilter log audit

Azure DevOps

Catatan

Audit masih dalam pratinjau publik.

Pada halaman Audit Pengaturan Organisasi, Anda dapat mengakses, mengekspor, dan memfilter log audit, yang melacak banyak perubahan yang terjadi dalam organisasi Azure DevOps Anda. Dengan log ini, Anda dapat menggunakannya untuk memenuhi tujuan kepatuhan dan tata kelola organisasi Anda.

Penting

Audit hanya tersedia untuk organisasi yang didukung oleh MICROSOFT Entra ID. Untuk informasi selengkapnya, lihat Menyambungkan organisasi Anda ke ID Microsoft Entra.

Perubahan audit terjadi setiap kali identitas pengguna atau layanan dalam organisasi mengedit status artefak. Anda mungkin melihat peristiwa yang dicatat untuk salah satu kemunculan berikut:

  • perubahan izin
  • sumber daya yang dihapus
  • perubahan kebijakan cabang
  • mengaudit akses dan unduhan log
  • dan banyak lagi...

Peristiwa disimpan selama 90 hari, dan dihapus sesudahnya. Namun, Anda bisa mencadangkan peristiwa audit ke lokasi eksternal untuk menyimpan data lebih lama dari periode 90 hari.

Peristiwa audit dapat diakses melalui dua metode pada halaman Audit di Pengaturan Organisasi Anda:

  • Melalui log Audit yang tersedia di bawah tab Log utama, dan
  • melalui aliran Audit apa pun yang disiapkan melalui tab Aliran .

Catatan

Audit tidak tersedia untuk penyebaran lokal Azure DevOps Server. Dimungkinkan untuk menyambungkan aliran Audit dari instans Azure DevOps Services ke instans Splunk lokal atau berbasis cloud, tetapi Anda harus memastikan Anda mengizinkan rentang IP untuk koneksi masuk. Untuk detailnya, lihat Daftar alamat yang diizinkan dan koneksi jaringan, alamat IP, dan pembatasan rentang.

Prasyarat

Audit dinonaktifkan secara default untuk semua organisasi Azure DevOps Services dan dapat diaktifkan dan dinonaktifkan oleh Pemilik organisasi dan Administrator Koleksi Proyek di halaman Pengaturan Organisasi. Secara default, Administrator Koleksi Proyek adalah satu-satunya grup yang memiliki akses penuh ke fitur Audit.

Izin audit

  • Secara default, anggota grup Pemilik organisasi dan Administrator Koleksi Proyek memiliki akses penuh ke semua fitur Audit.
  • Izin Audit Tertentu dapat diberikan ke grup mana pun melalui halaman Izin Keamanan di Pengaturan Organisasi.

Catatan

Jika fitur Batasi visibilitas dan kolaborasi pengguna ke pratinjau proyek tertentu diaktifkan untuk organisasi, pengguna yang ditambahkan ke grup Pengguna Cakupan Proyek tidak dapat melihat Audit dan memiliki visibilitas terbatas ke halaman pengaturan Organisasi. Untuk informasi selengkapnya dan penyebutan terkait keamanan penting, lihat Mengelola organisasi Anda, Membatasi visibilitas pengguna untuk proyek, dan lainnya.

Mengaktifkan dan menonaktifkan audit

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih ikon gigi Pengaturan organisasi.

  3. Pilih Kebijakan di bawah header Keamanan .

  4. Alihkan tombol Aktifkan Peristiwa Audit Log.

    Cuplikan layar kebijakan Audit diaktifkan.

Organisasi sekarang akan mengaktifkan Audit. Anda mungkin perlu me-refresh halaman untuk melihat Audit muncul di bilah samping. Peristiwa audit akan mulai muncul di Log Audit dan melalui aliran audit apa pun yang telah dikonfigurasi.

  1. Jika Anda tidak ingin lagi menerima peristiwa Audit, alihkan tombol Aktifkan Audit ke NONAKTIF. Ketika tombol dinonaktifkan, halaman Audit tidak akan lagi muncul di bar samping dan halaman Log Audit tidak akan tersedia. Aliran audit apa pun akan berhenti menerima peristiwa.

Pengauditan akses

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih ikon gigi Pengaturan organisasi.

    Cuplikan layar memperlihatkan tombol Pengaturan organisasi yang disorot.

  3. Pilih Audit.

    Halaman pratinjau audit

  4. Jika Anda tidak melihat Audit di pengaturan Organisasi, maka Anda tidak memiliki akses untuk melihat peristiwa audit. Grup Administrator Koleksi Proyek dapat memberikan izin kepada pengguna dan grup lain sehingga mereka dapat melihat halaman audit. Untuk melakukannya, pilih Izin, lalu temukan grup atau pengguna untuk menyediakan akses audit.

    Cuplikan layar tab Izin yang disorot.

  5. Atur Tampilkan log audit untuk memperbolehkan, lalu pilih Simpan perubahan.

    Cuplikan layar Pratinjau izin akses audit.

Pengguna atau anggota grup sekarang akan memiliki akses untuk melihat peristiwa audit organisasi Anda.

Meninjau log audit

Halaman Audit menyediakan tampilan sederhana ke dalam peristiwa audit yang direkam untuk organisasi Anda. Lihat deskripsi informasi berikut yang terlihat di halaman audit:

Mengaudit informasi dan detail peristiwa

Informasi Detail
Actor Nama tampilan individu yang memicu peristiwa audit.
IP Alamat IP individu yang memicu peristiwa audit.
Tanda Waktu Waktu peristiwa yang dipicu terjadi. Waktu dilokalkan ke zona waktu Anda.
Luas Area produk di Azure DevOps tempat peristiwa terjadi.
Kategori Deskripsi jenis tindakan yang terjadi (misalnya, mengubah nama, membuat, menghapus, menghapus, menjalankan, dan mengakses peristiwa).
Detail Deskripsi singkat tentang apa yang terjadi selama peristiwa.

Setiap peristiwa audit juga merekam informasi tambahan untuk apa yang dapat dilihat di halaman audit. Informasi ini mencakup mekanisme autentikasi, ID korelasi untuk menautkan peristiwa serupa bersama-sama, agen pengguna, dan lebih banyak data tergantung pada jenis peristiwa audit. Informasi ini hanya dapat dilihat dengan mengekspor peristiwa audit melalui CSV atau JSON.

ID & ID korelasi

Setiap peristiwa audit memiliki pengidentifikasi unik yang disebut "ID" dan "CorrelationID". ID korelasi sangat membantu untuk menemukan peristiwa audit terkait. Misalnya, proyek yang dibuat dapat menghasilkan beberapa lusin peristiwa audit. Anda dapat menautkan peristiwa ini bersama-sama karena semuanya memiliki ID korelasi yang sama.

Ketika ID peristiwa audit cocok dengan ID korelasinya, itu menunjukkan bahwa peristiwa audit adalah induk atau peristiwa asli. Untuk melihat hanya peristiwa asal, cari peristiwa di mana "ID" sama dengan "ID Korelasi" yang dimaksud. Kemudian, jika Anda ingin menyelidiki peristiwa dan peristiwa terkait, Anda dapat mencari semua peristiwa dengan ID korelasi yang cocok dengan ID peristiwa asal. Tidak semua peristiwa memiliki peristiwa terkait.

Peristiwa massal

Beberapa peristiwa audit dapat berisi beberapa tindakan yang terjadi sekaligus, juga dikenal sebagai "peristiwa audit massal". Anda dapat membedakan peristiwa ini dari orang lain dengan "Ikon informasi" di ujung kanan acara. Anda dapat menemukan detail individual tentang tindakan yang disertakan dalam peristiwa audit massal melalui data audit yang diunduh.

Mengaudit ikon informasi selengkapnya

Memilih ikon informasi menampilkan informasi tambahan tentang apa yang terjadi dalam peristiwa audit ini.

Saat Anda melihat melalui peristiwa audit, Anda mungkin menemukan kolom Kategori dan Area yang menarik. Kolom ini memungkinkan Anda untuk menyaring hanya untuk menemukan jenis peristiwa yang Anda minati. Tabel berikut adalah daftar kategori dan area, dan deskripsinya:

Daftar peristiwa

Kami mencoba yang terbaik untuk menambahkan peristiwa audit baru setiap bulan. Jika Anda ingin melihat peristiwa yang saat ini tidak dilacak, pertimbangkan untuk membagikannya dengan kami di Komunitas Pengembang.

Untuk daftar lengkap semua peristiwa yang saat ini dapat kami keluarkan melalui fitur Audit, lihat Daftar Peristiwa Audit.

Catatan

Ingin mengetahui area peristiwa apa yang dicatat organisasi Anda? Pastikan untuk memeriksa API Kueri Log Audit: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, mengganti {YOUR_ORGANIZATION} dengan nama organisasi Anda. API ini mengembalikan daftar semua peristiwa audit (atau tindakan) yang dapat dikeluarkan organisasi Anda.

Memfilter log audit menurut tanggal dan waktu

Di antarmuka pengguna Audit saat ini, Anda hanya dapat memfilter peristiwa menurut rentang tanggal atau waktu. Untuk mencakup peristiwa audit yang dapat dilihat berdasarkan rentang tanggal, pilih filter waktu di sisi kanan atas halaman.

Mengaudit filter entri menurut tanggal & waktu

Gunakan filter untuk memilih rentang waktu selama 90 hari terakhir dan cakupannya hingga menit. Setelah Anda memilih rentang waktu, pilih Terapkan pada pemilih rentang waktu untuk memulai pencarian. Secara default, 200 hasil teratas dikembalikan untuk pilihan waktu tersebut. Jika ada lebih banyak hasil, maka Anda dapat menggulir ke bawah untuk memuatnya ke halaman.

Mengekspor peristiwa audit

Untuk melakukan pencarian yang lebih rinci pada data audit atau menyimpan data selama lebih dari 90 hari data, Anda harus mengekspor peristiwa audit yang ada. Data yang diekspor kemudian dapat disimpan di lokasi atau layanan lain.

Pilih tombol Unduh di sisi kanan atas halaman audit untuk mengekspor peristiwa audit. Anda dapat memilih untuk mengunduh sebagai file CSV atau JSON.

Memilih salah satu opsi akan memulai pengunduhan. Peristiwa diunduh berdasarkan rentang waktu yang Anda pilih di filter. Jika Anda memiliki satu hari yang dipilih, maka Anda mendapatkan data senilai satu hari yang dikembalikan. Secara melintang, jika Anda menginginkan semua 90 hari, pilih 90 hari dari filter rentang waktu lalu mulai unduh.

Catatan

Untuk penyimpanan jangka panjang dan analisis peristiwa audit Anda, pertimbangkan untuk mengirim peristiwa Anda ke alat Security Information and Event Management (SIEM) menggunakan fitur Streaming Audit. Mengekspor log audit direkomendasikan untuk analisis data kursor.

Untuk memfilter data lebih dari rentang tanggal/waktu, sebaiknya unduh log sebagai file CSV dan mengimpor Microsoft Excel atau pengurai CSV lainnya untuk menyaring kolom Area dan Kategori. Untuk analisis pada himpunan data yang lebih besar, sebaiknya unggah peristiwa audit yang diekspor ke alat Security Incident and Event Management (SIEM) menggunakan fungsi Streaming Audit. Alat tersebut memungkinkan Anda menyimpan lebih dari 90 hari peristiwa, pencarian, laporan yang dihasilkan, dan pemberitahuan yang dikonfigurasi berdasarkan peristiwa audit.

Batasan

Batasan berikut ada untuk apa yang dapat diaudit.

  • Perubahan keanggotaan grup Microsoft Entra – Log Audit menyertakan pembaruan untuk grup Azure DevOps dan keanggotaan grup (saat Area peristiwa adalah "Grup"). Namun, jika Anda mengelola keanggotaan melalui grup Microsoft Entra, penambahan dan penghapusan pengguna dari grup Microsoft Entra tersebut tidak diaudit oleh Azure DevOps dalam log ini. Tinjau log audit Microsoft Entra untuk melihat kapan pengguna atau grup ditambahkan atau dihapus dari grup Microsoft Entra.
  • Peristiwa masuk – Kami tidak melacak peristiwa masuk untuk Azure DevOps. Lihat log audit Microsoft Entra untuk meninjau peristiwa masuk ke ID Microsoft Entra Anda.

Tanya jawab umum

T: Apa itu grup DirectoryServiceAddMember dan mengapa grup tersebut muncul di log audit?

J: Grup DirectoryServiceAddMember adalah grup sistem yang digunakan untuk membantu mengelola keanggotaan ke organisasi Azure DevOps Anda. Keanggotaan ke grup sistem ini dapat dipengaruhi oleh banyak tindakan sistem, pengguna, dan administratif. Karena grup ini adalah grup sistem yang hanya digunakan untuk proses internal, pelanggan dapat mengabaikan entri log audit yang menangkap perubahan keanggotaan ke grup ini.