Aceder, exportar e filtrar registos de auditoria
Serviços de DevOps do Azure
Nota
A auditoria ainda está em fase de pré-visualização pública.
Na página Auditoria das Configurações da Organização, você pode acessar, exportar e filtrar logs de auditoria, que controlam as muitas alterações que ocorrem na(s) sua(s) organização(ões) do Azure DevOps. Com esses logs, você pode usá-los para atender às metas de conformidade e governança da sua organização.
Importante
A auditoria só está disponível para organizações apoiadas pelo Microsoft Entra ID. Para obter mais informações, consulte Conectar sua organização ao Microsoft Entra ID.
As alterações de auditoria ocorrem sempre que uma identidade de usuário ou serviço dentro da organização edita o estado de um artefato. Você pode ver eventos registrados para qualquer uma das seguintes ocorrências:
- alterações de permissões
- Recursos excluídos
- Alterações na política de sucursais
- Auditando o acesso e downloads de logs
- e muito mais...
Os eventos são armazenados durante 90 dias, após os quais são eliminados. No entanto, pode fazer uma cópia de segurança dos eventos de auditoria para uma localização externa para manter os dados durante mais de 90 dias.
Os eventos de auditoria podem ser acessados por meio de dois métodos na página Auditoria nas Configurações da Organização:
- Através dos logs de auditoria disponíveis na guia Logs principal, e
- através de quaisquer fluxos de auditoria configurados através do separador Fluxos .
Nota
A auditoria não está disponível para implantações locais do Azure DevOps Server. É possível conectar um fluxo de Auditoria de uma instância dos Serviços de DevOps do Azure a uma instância local ou baseada em nuvem do Splunk, mas você deve se certificar de permitir intervalos de IP para conexões de entrada. Para obter detalhes, consulte Listas de endereços permitidos e conexões de rede, endereços IP e restrições de intervalo.
Pré-requisitos
A auditoria é desativada por padrão para todas as organizações dos Serviços de DevOps do Azure e pode ser ativada e desativada pelos Proprietários da organização e Administradores de Coleção de Projetos na página Configurações da Organização. Por padrão, os Administradores de Coleção de Projetos são o único grupo que tem acesso total ao recurso Auditoria.
Permissões de auditoria
- Por padrão, os membros dos grupos Proprietários da organização e Administradores de Coleção de Projetos têm acesso total a todos os recursos de Auditoria.
- Permissões de auditoria específicas podem ser concedidas a qualquer grupo por meio da página Permissões de segurança em Configurações da organização.
Nota
Se o recurso de visualização Limitar a visibilidade e a colaboração do usuário a projetos específicos estiver habilitado para a organização, os usuários adicionados ao grupo Usuários com escopo do projeto não poderão exibir Auditoria e terão visibilidade limitada para as páginas de configurações da organização. Para obter mais informações e menções importantes relacionadas à segurança, consulte Gerenciar sua organização, Limitar a visibilidade do usuário para projetos e muito mais.
Habilitar e desabilitar a auditoria
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}).Selecione
Definições da organização.Selecione Políticas sob o cabeçalho Segurança .
Ative o botão Registrar eventos de auditoria.
A organização agora terá a Auditoria habilitada. Talvez seja necessário atualizar a página para ver Auditoria aparecer na barra lateral. Os eventos de auditoria começarão a aparecer nos Logs de Auditoria e em todos os fluxos de auditoria que tenham sido configurados.
- Se não quiser mais receber eventos de Auditoria, alterne o botão Habilitar Auditoria para DESATIVADO. Quando o botão for desativado, a página Auditoria não aparecerá mais na barra lateral e a página Logs de auditoria ficará indisponível. Todos os fluxos de auditoria deixarão de receber eventos.
Auditoria de acesso
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}).Selecione
Definições da organização.
Selecione Auditoria.
Se você não vir Auditoria nas configurações da organização, não terá acesso para exibir eventos de auditoria. O grupo Administradores de Coleção de Projetos pode conceder permissões a outros usuários e grupos para que eles possam exibir as páginas de auditoria. Para fazer isso, selecione Permissões e localize o grupo ou usuários aos quais fornecer acesso de auditoria.
Defina Exibir log de auditoria como permitir e selecione Salvar alterações.
Os membros do usuário ou grupo agora terão acesso para exibir os eventos de auditoria da sua organização.
Rever o registo de auditoria
A página Auditoria fornece uma visão simples dos eventos de auditoria registrados para sua organização. Consulte a seguinte descrição das informações visíveis na página de auditoria:
Informações e detalhes do evento de auditoria
| Informação | Detalhes |
|---|---|
| Ator | Nome a apresentar da pessoa que acionou o evento de auditoria. |
| IP | Endereço IP da pessoa que acionou o evento de auditoria. |
| Carimbo de Data/Hora | Hora durante a qual o evento acionado ocorreu. A hora aparedce no fuso horário selecionado. |
| Area | Área de produtos no Azure DevOps onde ocorreu o evento. |
| Category | Descrição do tipo de ação que ocorreu (por exemplo, modificar, renomear, criar, excluir, remover, executar e acessar o evento). |
| Detalhes | Breve descrição do que aconteceu durante o evento. |
Cada evento de auditoria também regista informações adicionais para o que é visível na página de auditoria. Essas informações incluem o mecanismo de autenticação, uma ID de correlação para vincular eventos semelhantes, agente de usuário e mais dados, dependendo do tipo de evento de auditoria. Estas informações só podem ser vistas ao exportar os eventos de auditoria através de CSV ou JSON.
ID & ID de correlação
Cada evento de auditoria tem identificadores exclusivos chamados "ID" e "CorrelationID". A ID de correlação é útil para localizar eventos de auditoria relacionados. Por exemplo, um projeto criado pode gerar várias dúzias de eventos de auditoria. Você pode vincular esses eventos porque todos eles têm a mesma ID de correlação.
Quando uma ID de evento de auditoria corresponde à sua ID de correlação, ela indica que o evento de auditoria é o evento pai ou original. Para ver apenas os eventos de origem, procure os eventos em que "ID" é igual ao "Correlation ID" em questão. Em seguida, se quiser investigar um evento e seus eventos relacionados, você pode pesquisar todos os eventos com uma ID de correlação que corresponda à ID do evento de origem. Nem todos os eventos têm eventos relacionados.
Eventos em massa
Alguns eventos de auditoria podem conter várias ações que ocorreram ao mesmo tempo, também conhecidas como "eventos de auditoria em massa". Pode distinguir estes eventos de outros com um "ícone de informação" na extremidade direita do evento. Você pode encontrar detalhes individuais sobre as ações incluídas nos eventos de auditoria em massa por meio dos dados de auditoria baixados.
Selecionar o ícone de informações exibe informações adicionais sobre o que aconteceu nesse evento de auditoria.
Ao examinar os eventos de auditoria, você pode encontrar as colunas Categoria e Área de interesse. Estas colunas permitem-lhe filtrar para encontrar apenas os tipos de eventos em que está interessado. As tabelas a seguir são uma lista de categorias e áreas e suas descrições:
Lista de eventos
Tentamos ao máximo adicionar novos eventos de auditoria mensalmente. Se você quiser ver um evento que não está rastreado no momento, considere compartilhá-lo conosco na Comunidade de desenvolvedores.
Para obter uma lista completa de todos os eventos que atualmente podemos emitir por meio do recurso Auditoria, consulte a Lista de Eventos de Auditoria.
Nota
Quer descobrir quais áreas de eventos sua organização registra? Certifique-se de verificar a API de Consulta de Log de Auditoria: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, substituindo {YOUR_ORGANIZATION} pelo nome da sua organização. Essa API retorna uma lista de todos os eventos (ou ações) de auditoria que sua organização pode emitir.
Filtrar o log de auditoria por data e hora
Na interface do usuário de auditoria atual, você só pode filtrar eventos por um intervalo de data ou hora. Para definir o escopo dos eventos de auditoria visíveis por um intervalo de datas, selecione o filtro de tempo no canto superior direito da página.
Use os filtros para selecionar qualquer intervalo de tempo nos últimos 90 dias e definir o escopo até o minuto. Depois de selecionar um intervalo de tempo, selecione Aplicar no seletor de intervalo de tempo para iniciar a pesquisa. Por padrão, os 200 melhores resultados são retornados para essa seleção de tempo. Se houver mais resultados, você pode rolar para baixo para carregá-los na página.
Exportar eventos de auditoria
Para fazer uma pesquisa mais detalhada nos dados de auditoria ou armazenar dados por mais de 90 dias de dados, você precisará exportar eventos de auditoria existentes. Os dados exportados podem ser armazenados em outro local ou serviço.
Selecione o botão Download no canto superior direito da página de auditoria para exportar eventos de auditoria. Você pode optar por fazer o download como um arquivo CSV ou JSON.
Selecionar qualquer uma das opções inicia o download. Os eventos são baixados com base no intervalo de tempo selecionado no filtro. Se você selecionou um dia, então você recebe um dia de dados devolvidos. Transversalmente, se você quiser todos os 90 dias, selecione 90 dias no filtro de intervalo de tempo e, em seguida, inicie o download.
Nota
Para armazenamento e análise de longo prazo de seus eventos de auditoria, considere enviar seus eventos downstream para uma ferramenta de Gerenciamento de Informações e Eventos de Segurança (SIEM) usando o recurso Streaming de Auditoria. A exportação dos logs de auditoria é recomendada para uma análise superficial de dados.
Para filtrar dados por mais do que o intervalo de data/hora, recomendamos baixar logs como arquivos CSV e importar o Microsoft Excel ou outros analisadores CSV para filtrar as colunas Área e Categoria. Para análise em conjuntos de dados ainda maiores, recomendamos carregar eventos de auditoria exportados em uma ferramenta de Gerenciamento de Incidentes e Eventos de Segurança (SIEM) usando a função Streaming de Auditoria. Essas ferramentas permitem manter mais de 90 dias de eventos, pesquisas, relatórios gerados e alertas configurados com base em eventos de auditoria.
Limitações
Existem as seguintes limitações para o que pode ser auditado.
- Alterações de associação de grupo do Microsoft Entra – os Logs de Auditoria incluem atualizações para grupos de DevOps do Azure e associação a grupos (quando uma Área de evento é "Grupos"). No entanto, se você gerenciar a associação por meio de grupos do Microsoft Entra, essas adições e remoções de usuários desses grupos do Microsoft Entra não serão auditadas pelo Azure DevOps nesses logs. Revise os logs de auditoria do Microsoft Entra para ver quando um usuário ou grupo foi adicionado ou removido de um grupo do Microsoft Entra.
- Eventos de início de sessão – Não controlamos eventos de início de sessão para o Azure DevOps. Exiba os logs de auditoria do Microsoft Entra para revisar os eventos de entrada na sua ID do Microsoft Entra.
Perguntas mais frequentes
P: O que é o grupo DirectoryServiceAddMember e por que ele está aparecendo no log de auditoria?
R: O grupo DirectoryServiceAddMember é um grupo de sistema usado para ajudar a gerenciar a associação à sua organização do Azure DevOps. A associação a este grupo de sistemas pode ser afetada por muitas ações do sistema, do usuário e administrativas. Como esse grupo é um grupo de sistemas usado apenas para processos internos, os clientes podem ignorar as entradas do log de auditoria que capturam as alterações de associação a esse grupo.
Artigos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários