다음을 통해 공유


감사 로그 액세스, 내보내기, 필터링

Azure DevOps Services

참고 항목

감사는 아직 공개 미리 보기로 제공됩니다.

Azure DevOps 환경 내에서 활동을 추적하는 것은 보안 및 규정 준수에 매우 중요합니다. 감사는 이러한 활동을 모니터링하고 기록하여 투명성과 책임을 제공하는 데 도움이 됩니다. 이 문서에서는 감사 기능을 설명하고 이를 설정하고 효과적으로 사용하는 방법을 보여 줍니다.

Important

감사는 Microsoft Entra ID에서 지원하는 조직에서만 사용할 수 있습니다. 자세한 내용은 Microsoft Entra ID에 조직 연결을 참조하세요.

감사 변경은 조직 내의 사용자 또는 서비스 ID가 아티팩트 상태를 편집할 때마다 발생합니다. 기록될 수 있는 이벤트는 다음과 같습니다.

  • 사용 권한 변경
  • 삭제된 리소스
  • 분기 정책 변경
  • 로그 액세스 및 다운로드
  • 다른 많은 유형의 변경 내용

이러한 로그는 Azure DevOps 조직의 보안 및 규정 준수를 모니터링하고 관리하는 데 도움이 되는 포괄적인 활동 기록을 제공합니다.

감사 이벤트는 삭제되기 전에 90일 동안 저장됩니다. 데이터를 더 오래 보존하려면 감사 이벤트를 외부 위치에 백업할 수 있습니다.

참고 항목

Azure DevOps Server의 온-프레미스 배포에는 감사를 사용할 수 없습니다. 그러나 Azure DevOps Services 인스턴스의 감사 스트림을 Splunk의 온-프레미스 또는 클라우드 기반 인스턴스에 연결할 수 있습니다. 인바운드 연결에 IP 범위를 허용하는지 확인합니다. 자세한 내용은 허용된 주소 목록 및 네트워크 연결, IP 주소 및 범위 제한을 참조 하세요.

필수 조건

감사는 모든 Azure DevOps Services 조직에 대해 기본적으로 해제됩니다. 권한 있는 직원만 중요한 감사 정보에 액세스할 수 있는지 확인합니다.

사용 권한: PCA(프로젝트 컬렉션 관리자) 그룹의 구성원이 되거나(조직 소유자이 그룹의 자동으로 구성원임) 사용자 또는 그룹당 다음과 같은 감사 권한이 있습니다.

  • 감사 스트림 관리
  • 감사 로그 보기

스크린샷은 허용에 대한 설정 감사 권한을 보여줍니다.

PCA는 조직 설정>보안 > 권한을 통해 조직 스트림을 관리하기 위해 모든 사용자 또는 그룹에 이러한 권한을 부여할 수 있습니다. PCA는 감사 스트림 삭제 권한을 할당 할 수도 있습니다 .

참고 항목

조직에서 특정 프로젝트 미리 보기 기능에 대한 사용자 가시성 및 공동 작업 제한 기능을 사용하도록 설정한 경우 프로젝트 범위 사용자 그룹의 사용자는 감사를수 없으며 조직 설정 페이지에 대한 가시성이 제한됩니다. 자세한 내용과 중요한 보안 관련 세부 정보는 프로젝트 등에 대한 사용자 가시성 제한을 참조하세요.

감사 사용 및 사용 안 함

  1. 조직에 로그인합니다(https://dev.azure.com/{yourorganization}).

  2. 조직 설정을 선택합니다 기어 아이콘 .

  3. 보안 헤더 아래에서 정책을 선택합니다.

  4. 로그 감사 이벤트 단추를 ON으로 전환합니다.

    활성화된 감사 정책의 스크린샷.

    조직에 대해 감사를 사용할 수 있습니다. 사이드바에 감사가 표시되는지 확인하려면 페이지를 새로 고칩니다. 감사 이벤트는 감사 로그 및 구성된 감사 스트림을 통해 나타나기 시작합니다.

  5. 감사 이벤트를 더 이상 받지 않으려면 감사 사용 단추를 OFF로 전환합니다. 이 작업을 수행하면 사이드바에서 감사 페이지가 제거되고 감사 로그 페이지를 사용할 수 없게 됩니다. 모든 감사 스트림은 이벤트 수신을 중지합니다.

액세스 감사

  1. 조직에 로그인합니다(https://dev.azure.com/{yourorganization}).

  2. 조직 설정을 선택합니다 기어 아이콘 .

    강조 표시된 조직 설정 단추를 보여 주는 스크린샷

  3. 감사를 선택합니다.

    감사 미리 보기 페이지

  4. 조직 설정에 감사가 표시되지 않으면 감사 이벤트를 볼 수 있는 액세스 권한이 없습니다. 프로젝트 컬렉션 관리자 그룹은 감사 페이지를 볼 수 있도록 다른 사용자 및 그룹에 권한을 부여할 수 있습니다. 이렇게 하려면 사용 권한을 선택한 다음 감사 액세스를 제공할 그룹 또는 사용자를 찾습니다.

    강조 표시된 사용 권한 탭의 스크린샷

  5. 감사 로그 보기를 허용하도록 설정한 다음 변경 내용 저장을 선택합니다.

    액세스 권한 감사 미리 보기의 스크린샷.

    사용자 또는 그룹 구성원은 조직의 감사 이벤트를 볼 수 있는 액세스 권한이 있습니다.

감사 로그 검토

감사 페이지에서는 조직에 대해 기록된 감사 이벤트에 대한 간단한 보기를 제공합니다. 감사 페이지에 표시되는 정보에 대한 다음 설명을 참조하세요.

이벤트 정보 및 세부 정보 감사

정보 세부 정보
행위자 감사 이벤트를 트리거한 개인의 표시 이름입니다.
IP 감사 이벤트를 트리거한 개인의 IP 주소입니다.
타임스탬프 트리거된 이벤트가 발생한 시간입니다. 시간은 사용자의 표준 시간대에 맞게 지역화됩니다.
영역 이벤트가 발생한 Azure DevOps의 제품 영역입니다.
범주 발생한 작업 유형에 대한 설명입니다(예: 수정, 이름 바꾸기, 만들기, 삭제, 제거, 실행 및 액세스 이벤트).
세부 정보 이벤트 기간 동안 있었던 일에 대한 간략한 설명입니다.

또한 각 감사 이벤트는 감사 페이지에서 볼 수 있는 항목에 대한 추가 정보를 기록합니다. 이 정보에는 인증 메커니즘, 유사한 이벤트를 함께 연결하는 상관 관계 ID, 사용자 에이전트 및 감사 이벤트 유형에 따라 더 많은 데이터가 포함됩니다. 이 정보는 CSV 또는 JSON을 통해 감사 이벤트를 내보내야만 볼 수 있습니다.

ID 및 상관 관계 ID

각 감사 이벤트에는 and라는 CorrelationID고유 식별자가 ID 있습니다. 상관 관계 ID는 관련 감사 이벤트를 찾는 데 유용합니다. 예를 들어 프로젝트를 만들면 수십 개의 감사 이벤트가 생성되며 모두 동일한 상관 관계 ID로 연결됩니다.

감사 이벤트 ID가 상관 관계 ID와 일치하면 감사 이벤트가 부모 또는 원래 이벤트임을 나타냅니다. 원래 이벤트만 보려면 해당 이벤트가 같을 ID 이벤트를 찾습니다 Correlation ID. 이벤트 및 관련 이벤트를 조사하려면 원래 이벤트의 ID와 일치하는 상관 관계 ID를 사용하여 모든 이벤트를 조회합니다. 모든 이벤트에 관련 이벤트가 있는 것은 아닙니다.

대량 이벤트

"대량 감사 이벤트"라고 하는 일부 감사 이벤트에는 동시에 발생한 여러 작업이 포함될 수 있습니다. 이러한 이벤트는 이벤트의 맨 오른쪽에 있는 "정보 아이콘"으로 식별할 수 있습니다. 대량 감사 이벤트에 포함된 작업의 개별 세부 정보를 보려면 다운로드한 감사 데이터를 참조하세요.

스크린샷은 추가 정보 감사 아이콘을 보여줍니다.

정보 아이콘을 선택하면 감사 이벤트에 대한 자세한 내용이 표시됩니다.

감사 이벤트를 검토할 때 범주영역 열은 특정 유형의 이벤트를 필터링하고 찾는 데 도움이 될 수 있습니다. 다음 표에는 해당 설명과 함께 범주 및 영역이 나열되어 있습니다.

이벤트 목록

매월 새 감사 이벤트를 추가하려고 노력합니다. 현재 사용할 수 없는 추적을 확인하려는 이벤트가 있는 경우 개발자 커뮤니티에서 제안 사항을 공유하세요.

감사 기능을 통해 내보낼 수 있는 모든 이벤트의 포괄적인 목록은 감사 이벤트 목록을 참조하세요.

참고 항목

조직에서 기록하는 이벤트 영역을 알아보고 싶으신가요? 감사 로그 쿼리 API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions{YOUR_ORGANIZATION}을(를) 조직의 이름으로 바꿔야 합니다. 이 API는 조직에서 내보낸 모든 감사 이벤트(또는 작업) 목록을 반환합니다.

날짜 및 시간을 기준으로 감사 로그 필터링

현재 감사 UI에서는 날짜 또는 시간 범위별로만 이벤트를 필터링할 수 있습니다.

  1. 볼 수 있는 감사 이벤트의 범위를 좁히려면 시간 필터를 선택합니다.

    스크린샷은 날짜 및 시간별 감사 항목 필터를 보여줍니다.

  2. 필터를 사용하여 지난 90일 내의 시간 범위를 선택하고 범위는 분으로 줄입니다.

  3. 시간 범위 선택기에서 적용을 선택하여 검색을 시작합니다. 기본적으로 상위 200개 결과는 해당 시간 선택에 대해 반환됩니다. 더 많은 결과가 있는 경우 아래로 스크롤하여 페이지에 더 많은 항목을 로드할 수 있습니다.

감사 이벤트 내보내기

감사 데이터에 대해 보다 자세한 검색을 수행하거나 90일 이상 데이터를 저장하려면 기존 감사 이벤트를 내보냅니다. 내보낸 데이터를 다른 위치 또는 서비스에 저장할 수 있습니다.

감사 이벤트를 내보내려면 다운로드 단추를 선택합니다. 데이터를 CSV 또는 JSON 파일로 다운로드하도록 선택할 수 있습니다.

다운로드에는 필터에서 선택한 시간 범위를 기반으로 하는 이벤트가 포함됩니다. 예를 들어 1일을 선택하면 1일 분량의 데이터가 표시됩니다. 90일을 모두 얻으려면 시간 범위 필터에서 90일을 선택한 다음 다운로드를 시작합니다.

참고 항목

감사 이벤트의 장기 스토리지 및 분석을 위해 감사 스트리밍 기능을 사용하여 SIEM(보안 정보 및 이벤트 관리) 도구로 이벤트를 보내는 것이 좋습니다. 커서 데이터 분석을 위해 감사 로그를 내보내는 것이 좋습니다.

  • 날짜/시간 범위를 벗어나는 데이터를 필터링하려면 로그를 CSV 파일로 다운로드하고 Microsoft Excel 또는 기타 CSV 파서로 가져와 영역 및 범주 열을 검색합니다.
  • 더 큰 데이터 세트를 분석하려면 감사 스트리밍 함수를 사용하여 내보낸 감사 이벤트를 SIEM(보안 인시던트 및 이벤트 관리) 도구에 업로드합니다. SIEM 도구를 사용하면 90일 이상의 이벤트를 유지하고, 검색을 수행하고, 보고서를 생성하고, 감사 이벤트를 기반으로 경고를 구성할 수 있습니다.

제한 사항

감사할 수 있는 제한 사항은 다음과 같습니다.

  • Microsoft Entra 그룹 멤버 자격 변경: 감사 로그에는 이벤트 영역이 있는 경우 Azure DevOps 그룹 및 그룹 멤버 자격에 대한 업데이트가 포함됩니다 Groups. 그러나 Microsoft Entra 그룹을 통해 멤버 자격을 관리하는 경우 해당 Microsoft Entra 그룹의 사용자 추가 및 제거는 이러한 로그에 포함되지 않습니다. Microsoft Entra 감사 로그를 검토하여 사용자 또는 그룹이 Microsoft Entra 그룹에서 추가되거나 제거된 시기를 확인합니다.
  • 로그인 이벤트: Azure DevOps는 로그인 이벤트를 추적하지 않습니다. Microsoft Entra ID에 대한 로그인 이벤트를 검토하려면 Microsoft Entra 감사 로그를 확인합니다.
  • 간접 사용자 추가: 경우에 따라 사용자가 간접적으로 조직에 추가되고 Azure DevOps Services에서 추가한 감사 로그에 표시될 수 있습니다. 예를 들어 사용자가 작업 항목에 할당된 경우 조직에 자동으로 추가될 수 있습니다. 추가되는 사용자에 대한 감사 이벤트가 생성되는 동안 사용자 추가를 트리거한 작업 항목 할당에 대한 해당 감사 이벤트가 없습니다. 이러한 이벤트를 추적하려면 다음 작업을 고려합니다.
    • 해당 타임스탬프에 대한 작업 항목 기록을 검토하여 이 사용자가 작업 항목에 할당되었는지 확인합니다.
    • 컨텍스트를 제공할 수 있는 관련 이벤트에 대한 감사 로그를 확인합니다.

자주 묻는 질문

Q: DirectoryServiceAddMember 그룹이란 무엇이며 감사 로그에 표시되는 이유는 무엇인가요?

A: 그룹은 DirectoryServiceAddMember 조직의 멤버 자격을 관리하는 데 도움이 됩니다. 많은 시스템, 사용자 및 관리 작업이 이 시스템 그룹의 멤버 자격에 영향을 줄 수 있습니다. 이 그룹은 내부 프로세스에만 사용되므로 이 그룹의 멤버 자격 변경 내용을 캡처하는 감사 로그 항목을 무시할 수 있습니다.