Uzyskiwanie dostępu do dzienników inspekcji, ich eksportowanie i filtrowanie

Azure DevOps Services

Uwaga

Inspekcja jest nadal dostępna w publicznej wersji zapoznawczej.

Na stronie Inspekcja w organizacji Ustawienia można uzyskać dostęp do dzienników inspekcji, eksportować i filtrować je, aby śledzić wiele zmian występujących w organizacjach usługi Azure DevOps. Za pomocą tych dzienników można ich używać do osiągania celów dotyczących zgodności i ładu w organizacji.

Ważne

Inspekcja jest dostępna tylko dla organizacji wspieranych przez identyfikator Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Połączenie organizacji do identyfikatora Entra firmy Microsoft.

Zmiany inspekcji są wykonywane za każdym razem, gdy tożsamość użytkownika lub usługi w organizacji edytuje stan artefaktu. Zdarzenia mogą być rejestrowane dla dowolnego z następujących wystąpień:

• zmiany uprawnień
• usunięte zasoby
• zmiany zasad gałęzi
• inspekcja dostępu do dzienników i pobierania
• i o wiele więcej...

Zdarzenia są przechowywane przez 90 dni, po których są usuwane. Można jednak utworzyć kopię zapasową zdarzeń inspekcji w lokalizacji zewnętrznej, aby przechowywać dane przez okres dłuższy niż 90 dni.

Dostęp do zdarzeń inspekcji można uzyskać za pomocą dwóch metod na stronie Inspekcja w organizacji Ustawienia:

• Za pośrednictwem dzienników inspekcji dostępnych na karcie Dzienniki główne i
• za pośrednictwem dowolnych strumieni inspekcji skonfigurowanych za pośrednictwem karty Strumienie.

Uwaga

Inspekcja nie jest dostępna w przypadku wdrożeń lokalnych serwera Azure DevOps Server. Istnieje możliwość połączenia strumienia inspekcji z wystąpienia usługi Azure DevOps Services z lokalnym lub opartym na chmurze wystąpieniem rozwiązania Splunk, ale należy upewnić się, że zezwalasz na zakresy adresów IP dla połączeń przychodzących. Aby uzyskać szczegółowe informacje, zobacz Dozwolone listy adresów i połączenia sieciowe, adresy IP i ograniczenia zakresu.

Wymagania wstępne

Inspekcja jest domyślnie wyłączona dla wszystkich organizacji usługi Azure DevOps Services i może być włączona i wyłączona przez właścicieli organizacji i kolekcji projektów Administracja istratorów na stronie organizacji Ustawienia. Domyślnie Administracja istratory kolekcji projektów są jedyną grupą, która ma pełny dostęp do funkcji Inspekcja.

Uprawnienia inspekcji

• Domyślnie członkowie organizacji Właściciele i Kolekcja projektów Administracja istratory grupy mają pełny dostęp do wszystkich funkcji inspekcji.
• Określone uprawnienia inspekcji można przyznać dowolnej grupie za pośrednictwem strony Uprawnienia zabezpieczeń w organizacji Ustawienia.

Uwaga

Jeśli dla organizacji jest włączona funkcja Ogranicz widoczność użytkownika i współpracę z określonymi projektami w wersji zapoznawczej, użytkownicy dodani do grupy Użytkownicy o zakresie projektu nie mogą wyświetlać inspekcji i mają ograniczony wgląd na strony ustawień organizacji. Aby uzyskać więcej informacji i ważnych wzmianek związanych z zabezpieczeniami, zobacz Zarządzanie organizacją, Ograniczanie widoczności użytkowników dla projektów i nie tylko.

Włączanie i wyłączanie inspekcji

Strona podglądu

1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz pozycję Ustawienia organizacji.

3. Wybierz pozycję Zasady w nagłówku Zabezpieczenia .

4. Przełącz przycisk Zdarzenia inspekcji dziennika wł.

   

Organizacja będzie teraz mieć włączoną inspekcję. Może być konieczne odświeżenie strony, aby zobaczyć wyświetlanie inspekcji na pasku bocznym. Zdarzenia inspekcji zaczną pojawiać się w dziennikach inspekcji i za pośrednictwem wszystkich skonfigurowanych strumieni inspekcji.

5. Jeśli nie chcesz już otrzymywać zdarzeń inspekcji, przełącz przycisk Włącz inspekcję na WYŁ. Gdy przycisk zostanie wyłączony, strona Inspekcja nie będzie już wyświetlana na pasku bocznym, a strona Dzienniki inspekcji będzie niedostępna. Wszystkie strumienie inspekcji przestaną odbierać zdarzenia.

Bieżąca strona

1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz pozycję Ustawienia organizacji.

3. Wybierz pozycję Zasady w nagłówku Zabezpieczenia .

4. Przełącz przycisk Zdarzenia inspekcji dziennika wł.

   

Organizacja będzie teraz mieć włączoną inspekcję. Może być konieczne odświeżenie strony, aby zobaczyć wyświetlanie inspekcji na pasku bocznym. Zdarzenia inspekcji zaczną pojawiać się w dziennikach inspekcji i za pośrednictwem wszystkich skonfigurowanych strumieni inspekcji.

5. Jeśli nie chcesz już otrzymywać zdarzeń inspekcji, przełącz przycisk Włącz inspekcję na WYŁ. Gdy przycisk zostanie wyłączony, strona Inspekcja nie będzie już wyświetlana na pasku bocznym, a strona Dzienniki inspekcji będzie niedostępna. Wszystkie strumienie inspekcji przestaną odbierać zdarzenia.

Inspekcja dostępu

Strona podglądu

1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz pozycję Ustawienia organizacji.

   

3. Wybierz pozycję Inspekcja.

   

4. Jeśli nie widzisz opcji Inspekcja w ustawieniach organizacji, nie masz dostępu do wyświetlania zdarzeń inspekcji. Grupa Administracja istratorów kolekcji projektów może udzielić uprawnień innym użytkownikom i grupom, aby mogli wyświetlać strony inspekcji. W tym celu wybierz pozycję Uprawnienia, a następnie znajdź grupę lub użytkowników, do których chcesz zapewnić dostęp inspekcji.

   

5. Ustaw opcję Wyświetl dziennik inspekcji, aby zezwolić, a następnie wybierz pozycję Zapisz zmiany.

   

Użytkownicy lub członkowie grupy będą teraz mieli dostęp do wyświetlania zdarzeń inspekcji organizacji.

Bieżąca strona

1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz pozycję Ustawienia organizacji.

   

3. Wybierz pozycję Inspekcja.

   

4. Jeśli nie widzisz opcji Inspekcja w ustawieniach organizacji, nie masz dostępu do wyświetlania zdarzeń inspekcji. Grupa Administracja istratorów kolekcji projektów może udzielić uprawnień innym użytkownikom i grupom, aby mogli wyświetlać strony inspekcji. Wybierz pozycję Zabezpieczenia, a następnie znajdź grupę lub użytkowników, do których chcesz zapewnić dostęp inspekcji.

   

5. Ustaw opcję Wyświetl dziennik inspekcji, aby zezwolić, a następnie wybierz pozycję Zapisz zmiany.

   

Użytkownicy lub członkowie grupy będą teraz mieli dostęp do wyświetlania zdarzeń inspekcji organizacji.

Przeglądanie dziennika inspekcji

Strona Inspekcja zawiera prosty widok zdarzeń inspekcji zarejestrowanych w organizacji. Zobacz następujący opis informacji widocznych na stronie inspekcji:

Informacje o zdarzeniach inspekcji i szczegóły

Informacje	Szczegóły
Aktor	Nazwa wyświetlana osoby, która wyzwoliła zdarzenie inspekcji.
Adres IP	Adres IP osoby, która wyzwoliła zdarzenie inspekcji.
Znacznik czasu	Czas wystąpienia wyzwolonego zdarzenia. Czas jest zlokalizowany na daną strefę czasową.
Warstwowy	Obszar produktu w usłudze Azure DevOps, w którym wystąpiło zdarzenie.
Kategoria	Opis typu akcji, która wystąpiła (na przykład modyfikowanie, zmienianie nazwy, tworzenie, usuwanie, usuwanie, wykonywanie i uzyskiwanie dostępu).
Szczegóły	Krótki opis tego, co wydarzyło się podczas zdarzenia.

Każde zdarzenie inspekcji rejestruje również dodatkowe informacje dotyczące tego, co jest wyświetlane na stronie inspekcji. Te informacje obejmują mechanizm uwierzytelniania, identyfikator korelacji łączący podobne zdarzenia, agenta użytkownika i inne dane w zależności od typu zdarzenia inspekcji. Te informacje można wyświetlić tylko przez wyeksportowanie zdarzeń inspekcji za pośrednictwem pliku CSV lub JSON.

Identyfikator i identyfikator korelacji

Każde zdarzenie inspekcji ma unikatowe identyfikatory o nazwie "ID" i "CorrelationID". Identyfikator korelacji jest przydatny do znajdowania powiązanych zdarzeń inspekcji. Na przykład utworzony projekt może generować kilkadziesiąt zdarzeń inspekcji. Te zdarzenia można połączyć ze sobą, ponieważ wszystkie mają ten sam identyfikator korelacji.

Gdy identyfikator zdarzenia inspekcji jest zgodny z jego identyfikatorem korelacji, wskazuje, że zdarzenie inspekcji jest zdarzeniem nadrzędnym lub oryginalnym. Aby wyświetlić tylko zdarzenia źródłowe, poszukaj zdarzeń, w których wartość "ID" jest równa pytaniu "Identyfikator korelacji". Następnie, jeśli chcesz zbadać zdarzenie i powiązane zdarzenia, możesz wyszukać wszystkie zdarzenia z identyfikatorem korelacji zgodnym z identyfikatorem zdarzenia źródłowego. Nie wszystkie zdarzenia mają powiązane zdarzenia.

Zdarzenia zbiorcze

Niektóre zdarzenia inspekcji mogą zawierać wiele akcji, które miały miejsce jednocześnie, nazywane również "zdarzeniami inspekcji zbiorczej". Możesz odróżnić te zdarzenia od innych za pomocą ikony "Informacje" po prawej stronie zdarzenia. Szczegółowe informacje na temat akcji uwzględnionych w zdarzeniach inspekcji zbiorczej można znaleźć za pośrednictwem pobranych danych inspekcji.

Wybranie ikony informacji powoduje wyświetlenie dodatkowych informacji o tym, co się stało w tym zdarzeniu inspekcji.

Podczas przeglądania zdarzeń inspekcji możesz znaleźć interesujące kolumny Kategoria i Obszar . Te kolumny umożliwiają przesiewanie danych w celu znalezienia tylko zainteresowanych typów zdarzeń. Poniższe tabele to lista kategorii i obszarów oraz ich opisy:

Lista zdarzeń

Staramy się dodać nowe zdarzenia inspekcji co miesiąc. Jeśli chcesz zobaczyć zdarzenie, które nie jest obecnie śledzone, rozważ udostępnienie go nam w społeczności deweloperów.

Aby uzyskać pełną listę wszystkich zdarzeń, które obecnie możemy emitować za pośrednictwem funkcji Inspekcja, zobacz listę zdarzeń inspekcji.

Uwaga

Chcesz dowiedzieć się, jakie obszary zdarzeń mają dzienniki organizacji? Pamiętaj, aby zapoznać się z interfejsem API zapytań dziennika inspekcji: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, zastępując ciąg {YOUR_ORGANIZATION} nazwą organizacji. Ten interfejs API zwraca listę wszystkich zdarzeń inspekcji (lub akcji), które organizacja może emitować.

Filtrowanie dziennika inspekcji według daty i godziny

W bieżącym interfejsie użytkownika inspekcji można filtrować zdarzenia tylko według zakresu daty lub godziny. Aby ograniczyć zakres widokowych zdarzeń inspekcji według zakresu dat, wybierz filtr czasu w prawym górnym rogu strony.

Użyj filtrów, aby wybrać dowolny zakres czasu w ciągu ostatnich 90 dni i ograniczyć zakres do minuty. Po wybraniu zakresu czasu wybierz pozycję Zastosuj dla selektora zakresu czasu, aby rozpocząć wyszukiwanie. Domyślnie 200 pierwszych wyników jest zwracanych dla tego wyboru czasu. Jeśli istnieje więcej wyników, możesz przewinąć je w dół, aby załadować je na stronę.

Eksportowanie zdarzeń inspekcji

Aby przeprowadzić bardziej szczegółowe wyszukiwanie danych inspekcji lub przechowywanie danych przez ponad 90 dni, należy wyeksportować istniejące zdarzenia inspekcji. Wyeksportowane dane można następnie przechowywać w innej lokalizacji lub usłudze.

Wybierz przycisk Pobierz w prawym górnym rogu strony inspekcji, aby wyeksportować zdarzenia inspekcji. Możesz wybrać opcję pobrania jako pliku CSV lub JSON.

Wybranie jednej z opcji powoduje uruchomienie pobierania. Zdarzenia są pobierane na podstawie zakresu czasu wybranego w filtrze. Jeśli wybrano jeden dzień, otrzymasz jeden dzień zwrotu danych. Jeśli chcesz wykonać wszystkie 90 dni, wybierz 90 dni od filtru zakresu czasu, a następnie rozpocznij pobieranie.

Uwaga

W przypadku długoterminowego przechowywania i analizy zdarzeń inspekcji należy rozważyć wysłanie zdarzeń podrzędnych do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) przy użyciu funkcji inspekcji przesyłania strumieniowego. Eksportowanie dzienników inspekcji jest zalecane do analizy pobieznych danych.

Aby filtrować dane według więcej niż zakres daty/godziny, zalecamy pobranie dzienników jako plików CSV i zaimportowanie programu Microsoft Excel lub innych analizatorów CSV do przesiewania kolumn Obszar i Kategoria. W celu przeprowadzenia analizy jeszcze większych zestawów danych zalecamy przekazanie wyeksportowanych zdarzeń inspekcji do narzędzia Security Incident and Event Management (SIEM) przy użyciu funkcji Inspekcja przesyłania strumieniowego. Takie narzędzia pozwalają zachować więcej niż 90 dni zdarzeń, wyszukiwań, wygenerowanych raportów i skonfigurowanych alertów na podstawie zdarzeń inspekcji.

Ograniczenia

Istnieją następujące ograniczenia dotyczące tego, co można przeprowadzić inspekcję.

• Zmiany członkostwa w grupach firmy Microsoft — dzienniki inspekcji obejmują aktualizacje grup i członkostwa w grupach usługi Azure DevOps (gdy obszar zdarzenia to "Grupy"). Jeśli jednak zarządzasz członkostwem za pośrednictwem grup firmy Microsoft Entra, takie dodatki i usunięcia użytkowników z tych grup firmy Microsoft Entra nie są poddawane inspekcji przez usługę Azure DevOps w tych dziennikach. Przejrzyj dzienniki inspekcji firmy Microsoft Entra, aby sprawdzić, kiedy użytkownik lub grupa została dodana lub usunięta z grupy Microsoft Entra.
• Zdarzenia logowania — nie śledzimy zdarzeń logowania dla usługi Azure DevOps. Wyświetl dzienniki inspekcji firmy Microsoft Entra, aby przejrzeć zdarzenia logowania do identyfikatora Entra firmy Microsoft.

Często zadawane pytania

Pyt.: Jaka jest grupa DirectoryServiceAddMember i dlaczego jest wyświetlana w dzienniku inspekcji?

1: Grupa DirectoryServiceAddMember jest grupą systemową służącą do zarządzania członkostwem w organizacji usługi Azure DevOps. Członkostwo w tej grupie systemowej może mieć wpływ na wiele akcji systemowych, użytkowników i administratorów. Ponieważ ta grupa jest grupą systemową używaną tylko w procesach wewnętrznych, klienci mogą lekceważyć wpisy dziennika inspekcji, które przechwytują zmiany członkostwa w tej grupie.

Powiązane artykuły

• Inspekcja przesyłania strumieniowego