Доступ, экспорт и фильтрация журналов аудита

Azure DevOps Services | Azure DevOps Server 2022 г.

Примечание

Аудит по-прежнему находится в общедоступной предварительной версии.

На странице аудита параметров организации можно получать доступ, экспортировать и фильтровать журналы аудита, которые отслеживают множество изменений, происходящих в организациях Azure DevOps. С помощью этих журналов их можно использовать для удовлетворения целей соответствия и управления вашей организации.

Важно!

Аудит доступен только для организаций, поддерживаемых Azure Active Directory. Дополнительные сведения см. в статье "Подключение организации к Azure Active Directory".

Изменения аудита происходят каждый раз, когда удостоверение пользователя или службы в организации изменяет состояние артефакта. Вы можете увидеть события, зарегистрированные для любого из следующих вхождений:

  • Изменения разрешений
  • удаленные ресурсы
  • Изменения политики ветви
  • аудит доступа к журналам и загрузки
  • и гораздо больше...

События сохраняются в течение 90 дней, после чего они удаляются. Однако можно создать резервную копию событий аудита во внешнем расположении, чтобы хранить данные дольше 90-дневного периода.

Доступ к событиям аудита можно получить с помощью двух методов на странице аудита в параметрах организации:

  • С помощью журналов аудита, доступных на главной вкладке "Журналы", и
  • через все потоки аудита, настроенные на вкладке "Потоки ".

Примечание

Аудит недоступен для локальных развертываний Azure DevOps Server. Поток аудита можно подключить из экземпляра Azure DevOps Services к локальному или облачному экземпляру Splunk, но необходимо разрешить диапазоны IP-адресов для входящих подключений. Дополнительные сведения см. в списках разрешенных адресов и сетевых подключениях, IP-адресах и ограничениях диапазона.

Предварительные требования

Аудит отключен по умолчанию для всех организаций Azure DevOps Services и может быть включен и отключен владельцами организации и администраторами коллекции проектов на странице параметров организации. По умолчанию администраторы коллекции проектов — это единственная группа, которая имеет полный доступ к функции аудита.

Разрешения аудита

  • По умолчанию члены групп владельцев иадминистраторов коллекции проектов имеют полный доступ ко всем функциям аудита.
  • Определенные разрешения аудита можно предоставить любой группе с помощью страницы "Разрешения безопасности" в параметрах организации.

Примечание

Если для организации включена функция "Ограничить видимость пользователей и совместная работа для определенных проектов ", пользователи, добавленные в группу "Пользователи с областью проекта ", не смогут просматривать аудит и иметь ограниченную видимость на страницах параметров организации . Дополнительные сведения см. в статье "Управление организацией", "Ограничение видимости пользователей" для проектов и т. д.

Включение и отключение аудита

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите параметры организации значка шестеренки.

  3. Выберите "Политики" в заголовке "Безопасность ".

  4. Переключите кнопку "События аудита журнала " вкл.

    Снимок экрана: включенная политика аудита.

Теперь в организации будет включен аудит. Возможно, потребуется обновить страницу, чтобы увидеть, что аудит отображается на боковой панели. События аудита начнут появляться в журналах аудита и через все настроенные потоки аудита.

  1. Если вы больше не хотите получать события аудита, переключите кнопку "Включить аудит " в значение OFF. Если кнопка отключена, страница аудита больше не появится на боковой панели, а страница "Журналы аудита" будет недоступна. Все потоки аудита перестают получать события.

Доступ к данным аудита

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите параметры организации значка шестеренки.

    Снимок экрана: выделенная кнопка

  3. Выберите "Аудит".

    Страница предварительного просмотра аудита

  4. Если аудит не отображается в параметрах организации, у вас нет доступа к просмотру событий аудита. Группа "Администраторы коллекции проектов" может предоставлять разрешения другим пользователям и группам, чтобы они могли просматривать страницы аудита. Для этого выберите "Разрешения", а затем найдите группу или пользователей для предоставления доступа к аудиту.

    Снимок экрана: выделенная вкладка

  5. Задайте для параметра "Просмотр журнала аудита ", чтобы разрешить, а затем нажмите кнопку "Сохранить изменения".

    Снимок экрана: предварительный просмотр разрешений на доступ к аудиту.

Теперь у пользователей или участников группы будет доступ к просмотру событий аудита вашей организации.

Просмотр журнала аудита

Страница аудита предоставляет простое представление о событиях аудита, записанных для вашей организации. См. следующее описание сведений, отображаемых на странице аудита:

Аудит сведений и сведений о событии

Информация Сведения
Субъект Отображает имя пользователя, активировавшее событие аудита.
IP-адрес IP-адрес пользователя, активировавший событие аудита.
Отметка времени Время, когда произошло активированное событие. Время локализуется в соответствующем часовом поясе.
Область Область продукта в Azure DevOps, где произошло событие.
Категория Описание типа выполняемого действия (например, изменение, переименование, создание, удаление, удаление, выполнение и получение доступа).
Сведения Краткое описание того, что произошло во время события.

Каждое событие аудита также записывает дополнительные сведения о доступных для просмотра данных на странице аудита. Эти сведения включают механизм проверки подлинности, идентификатор корреляции для связывания похожих событий, агента пользователя и дополнительных данных в зависимости от типа события аудита. Их можно просмотреть только путем экспорта событий аудита с помощью CSV или JSON.

Идентификатор корреляции идентификатора &

Каждое событие аудита имеет уникальные идентификаторы, называемые идентификаторами и CorrelationID. Идентификатор корреляции полезен для поиска связанных событий аудита. Например, созданный проект может создавать несколько десятков событий аудита. Эти события можно связать вместе, так как все они имеют одинаковый идентификатор корреляции.

Если идентификатор события аудита совпадает с идентификатором корреляции, он указывает, что событие аудита является родительским или исходным событием. Чтобы просмотреть только исходные события, найдите события, в которых "ID" имеет значение "Идентификатор корреляции" в вопросе. Затем, если вы хотите исследовать событие и связанные с ним события, можно искать все события с идентификатором корреляции, который соответствует идентификатору исходного события. Не все события имеют связанные события.

Массовые события

Некоторые события аудита могут содержать несколько действий, которые выполнялись одновременно, также называемые "событиями массового аудита". Эти события можно отличить от других с помощью значка сведений справа от события. Вы можете найти отдельные сведения о действиях, включенных в события массового аудита, с помощью загруженных данных аудита.

Значок

При выборе значка сведений отображаются дополнительные сведения о том, что произошло в этом событии аудита.

При просмотре событий аудита могут находиться интересующие столбцы категорий и областей . Эти столбцы позволяют просеять, чтобы найти только интересующие вас типы событий. В следующих таблицах приведен список категорий и областей, а также их описания:

Список событий

Мы стараемся добавить новые события аудита ежемесячно. Если вы хотите увидеть событие, которое в настоящее время не отслеживается, рассмотрите возможность совместного использования с нами в Сообщество разработчиков.

Полный список всех событий, которые в настоящее время можно выдавать с помощью функции аудита, см. в списке событий аудита.

Примечание

Хотите узнать, какие области событий регистрирует ваша организация? Обязательно ознакомьтесь с API запросов журнала аудита, https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsзаменив {YOUR_ORGANIZATION} именем вашей организации. Этот API возвращает список всех событий аудита (или действий) вашей организации.

Фильтрация журнала аудита по дате и времени

В текущем пользовательском интерфейсе аудита можно фильтровать события только по диапазону даты и времени. Чтобы ограничить область событий аудита, доступных для просмотра по диапазону дат, выберите фильтр времени в правой верхней части страницы.

Аудит фильтра записи по дате & и времени

Используйте фильтры, чтобы выбрать диапазон времени за последние 90 дней и ограничить его до минуты. Выбрав диапазон времени, нажмите кнопку "Применить" в селекторе диапазона времени, чтобы начать поиск. По умолчанию возвращаются первые 200 результатов для этого времени. Если есть дополнительные результаты, можно прокрутить вниз, чтобы загрузить их на страницу.

Экспорт событий аудита

Для более подробного поиска данных аудита или хранения данных в течение более 90 дней необходимо экспортировать существующие события аудита. Затем экспортированные данные можно хранить в другом расположении или службе.

Нажмите кнопку "Скачать " в правой верхней части страницы аудита, чтобы экспортировать события аудита. Вы можете скачать файл CSV или JSON.

При выборе любого из этих параметров запускается скачивание. События загружаются в зависимости от диапазона времени, выбранного в фильтре. Если вы выбрали один день, вы получите один день стоимости возвращаемых данных. Если вы хотите, чтобы все 90 дней, выберите 90 дней в фильтре диапазона времени, а затем запустите загрузку.

Примечание

Для долгосрочного хранения и анализа событий аудита рассмотрите возможность отправки ваших событий в нижестоящий инструмент управления информационной безопасностью и событиями (SIEM) с помощью функции потоковой передачи аудита. Для анализа курсорных данных рекомендуется экспортировать журналы аудита.

Чтобы отфильтровать данные по большему диапазону даты и времени, рекомендуется скачать журналы в виде CSV-файлов и импортировать Microsoft Excel или другие средства синтаксического анализа CSV для очистки по столбцам "Область" и "Категория". Для анализа даже больших наборов данных рекомендуется отправлять экспортированные события аудита в средство управления инцидентами безопасности и событиями (SIEM) с помощью функции потоковой передачи аудита. Такие средства позволяют хранить более 90 дней событий, поиска, созданных отчетов и настроенных оповещений на основе событий аудита.

Ограничения

Для аудита существуют следующие ограничения.

  • Изменения членства в группах Azure Active Directory (Azure AD). Журналы аудита включают обновления для групп Azure DevOps и членства в группах (если область событий — "Группы"). Однако если вы управляете членством с помощью групп Azure AD, такие добавления и удаления пользователей из этих групп Azure AD не проверяются Azure DevOps в этих журналах. Просмотрите журналы аудита Azure AD, чтобы узнать, когда пользователь или группа были добавлены или удалены из группы Azure AD.
  • События входа— мы не отслеживаем события входа для Azure DevOps. Просмотрите журналы аудита Azure AD, чтобы просмотреть события входа в Azure AD.

Часто задаваемые вопросы

Вопрос. Что такое группа DirectoryServiceAddMember и почему она отображается в журнале аудита?

Ответ. Группа DirectoryServiceAddMember — это системная группа, используемая для управления членством в организации Azure DevOps. Членство в этой системной группе может повлиять на многие действия системы, пользователя и администратора. Так как эта группа является системной группой, используемой только для внутренних процессов, клиенты могут игнорировать записи журнала аудита, которые записывают изменения членства в этой группе.