Поделиться через


Доступ, экспорт и фильтрация журналов аудита

Azure DevOps Services

Примечание.

Аудит по-прежнему находится в общедоступной предварительной версии.

На странице аудита параметров организации можно получить доступ к журналам аудита, экспорту и фильтрации, которые отслеживают множество изменений, происходящих в организации Azure DevOps. С помощью этих журналов их можно использовать для удовлетворения целей соответствия и управления вашей организации.

Внимание

Аудит доступен только для организаций, поддерживаемых идентификатором Microsoft Entra. Дополнительные сведения см. в разделе "Подключение организации к идентификатору Microsoft Entra".

Аудит изменений происходит всякий раз, когда удостоверение пользователя или службы в организации изменяет состояние артефакта. Вы можете увидеть события, зарегистрированные для любого из следующих вхождений:

  • Изменения разрешений
  • удаленные ресурсы
  • Изменения политики ветви
  • аудит доступа к журналам и загрузки
  • и гораздо больше...

События хранятся в течение 90 дней, после чего удаляются. Но вы можете создавать резервные копии событий аудита во внешнем расположении, чтобы хранить данные дольше этого периода.

К событиям аудита можно получить доступ с помощью двух методов на странице аудита в параметрах организации:

  • С помощью журналов аудита, доступных на главной вкладке "Журналы" и
  • с помощью любых потоков аудита, настроенных на вкладке Streams .

Примечание.

Аудит недоступен для локальных развертываний Azure DevOps Server. Можно подключить поток аудита из экземпляра Azure DevOps Services к локальному или облачному экземпляру Splunk, но необходимо убедиться, что разрешены диапазоны IP-адресов для входящих подключений. Дополнительные сведения см. в списках разрешенных адресов и сетевых подключениях, IP-адресах и ограничениях диапазона.

Необходимые компоненты

Аудит отключен по умолчанию для всех организаций Azure DevOps Services и может быть включен и отключен владельцами организации и администраторами коллекции проектов на странице "Параметры организации". По умолчанию администраторы коллекции проектов — это единственная группа, которая имеет полный доступ к функции аудита.

Разрешения аудита

  • По умолчанию члены групп владельцев и администраторов коллекции проектов имеют полный доступ ко всем функциям аудита.
  • Определенные разрешения аудита можно предоставить любой группе с помощью страницы "Разрешения безопасности" в параметрах организации.

Примечание.

Если для организации включена функция "Ограничить видимость пользователей и совместная работа с определенными проектами", пользователи, добавленные в группу "Пользователи с областью проекта", не могут просматривать аудит и иметь ограниченную видимость страниц параметров организации. Дополнительные сведения и важные упоминания о безопасности см. в разделе "Управление организацией", "Ограничить видимость пользователей" для проектов и многое другое.

Включение и отключение аудита

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите Значок шестеренки параметры организации.

  3. Выберите политики в заголовке "Безопасность ".

  4. Переключите кнопку "События аудита журнала" ВКЛ.

    Снимок экрана: включена политика аудита.

Теперь у организации будет включен аудит. Возможно, потребуется обновить страницу, чтобы увидеть отображение аудита на боковой панели. События аудита начнут отображаться в журналах аудита и с помощью любых потоков аудита, настроенных.

  1. Если вы больше не хотите получать события аудита, переключите кнопку "Включить аудит " в off. Если кнопка отключена, страница аудита больше не будет отображаться на боковой панели, а страница "Журналы аудита" будет недоступна. Все потоки аудита перестают получать события.

Доступ к данным аудита

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите Значок шестеренки параметры организации.

    Снимок экрана: выделенная кнопка

  3. Выберите "Аудит".

    Страница

  4. Если аудит не отображается в параметрах организации, у вас нет доступа к просмотру событий аудита. Группа администраторов коллекции проектов может предоставлять разрешения другим пользователям и группам, чтобы они могли просматривать страницы аудита. Для этого выберите "Разрешения", а затем найдите группу или пользователей, чтобы предоставить доступ к аудиту.

    Снимок экрана: выделенная вкладка

  5. Задайте для параметра "Просмотр журнала аудита", чтобы разрешить, а затем нажмите кнопку "Сохранить изменения".

    Снимок экрана: предварительная версия разрешений на аудит доступа.

Теперь у пользователей или участников группы будет доступ к просмотру событий аудита вашей организации.

Проверка журнала аудита

Страница аудита предоставляет простое представление о событиях аудита, записанных для вашей организации. См. следующее описание информации, видимой на странице аудита:

Аудит сведений и сведений о событии

Информация Сведения
Субъект Отображает имя пользователя, активировавшее событие аудита.
IP-адрес IP-адрес пользователя, активировавший событие аудита.
Отметка времени Время, когда произошло активированное событие. Время локализуется в соответствующем часовом поясе.
Область Область продукта в Azure DevOps, где произошло событие.
Категория Описание типа действия, которое произошло (например, изменение, переименование, создание, удаление, удаление, выполнение и получение доступа).
Сведения Краткое описание того, что произошло во время события.

Каждое событие аудита также записывает дополнительные сведения о доступных для просмотра данных на странице аудита. Эти сведения включают механизм проверки подлинности, идентификатор корреляции для связывания аналогичных событий, агента пользователя и дополнительных данных в зависимости от типа события аудита. Их можно просмотреть только путем экспорта событий аудита с помощью CSV или JSON.

Идентификатор и идентификатор корреляции

Каждое событие аудита имеет уникальные идентификаторы, называемые идентификатором и "CorrelationID". Идентификатор корреляции полезен для поиска связанных событий аудита. Например, созданный проект может создавать несколько десятков событий аудита. Эти события можно связать вместе, так как все они имеют одинаковый идентификатор корреляции.

Если идентификатор события аудита соответствует идентификатору корреляции, он указывает, что событие аудита является родительским или исходным событием. Чтобы просмотреть только исходные события, найдите события, в которых идентификатор равен идентификатору корреляции. Затем, если вы хотите исследовать событие и связанные с ним события, вы можете искать все события с идентификатором корреляции, соответствующим идентификатору исходного события. Не все события имеют связанные события.

Массовые события

Некоторые события аудита могут содержать несколько действий, которые выполнялись одновременно, также известные как "события массового аудита". Эти события можно отличить от других с помощью значка "Информация" в правом углу события. Вы можете найти отдельные сведения о действиях, включенных в события массового аудита, с помощью загруженных данных аудита.

Значок аудита дополнительных сведений

При выборе значка сведений отображаются дополнительные сведения о том, что произошло в этом событии аудита.

При просмотре событий аудита можно найти интересующие столбцы категории и области . Эти столбцы позволяют просматривать только интересующие вас типы событий. В следующих таблицах приведен список категорий и областей, а также их описания:

Список событий

Мы стараемся добавить новые события аудита ежемесячно. Если вы хотите увидеть событие, которое в настоящее время не отслеживается, рассмотрите возможность совместного использования с нами в Сообщество разработчиков.

Полный список всех событий, которые в настоящее время можно вывести через функцию аудита, см. в списке событий аудита.

Примечание.

Хотите узнать, какие области событий регистрирует ваша организация? Обязательно ознакомьтесь с API запросов журнала аудита: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actionsзаменяя {YOUR_ORGANIZATION} именем вашей организации. Этот API возвращает список всех событий аудита (или действий) вашей организации.

Фильтрация журнала аудита по дате и времени

В текущем пользовательском интерфейсе аудита можно фильтровать только события по диапазону даты или времени. Чтобы уменьшить область событий аудита, доступных для просмотра по диапазону дат, выберите фильтр времени в правой верхней части страницы.

Аудит фильтра записи по дате и времени

Используйте фильтры, чтобы выбрать диапазон времени за последние 90 дней и ограничить его до минуты. Выбрав диапазон времени, нажмите кнопку "Применить" в селекторе диапазона времени, чтобы начать поиск. По умолчанию первые 200 результатов возвращаются в течение этого времени. Если есть дополнительные результаты, прокрутите вниз, чтобы загрузить их на страницу.

Экспорт событий аудита

Чтобы выполнить более подробный поиск по данным аудита или хранить данные более 90 дней, необходимо экспортировать существующие события аудита. Экспортированные данные затем можно хранить в другом расположении или службе.

Нажмите кнопку "Скачать" в правой верхней части страницы аудита, чтобы экспортировать события аудита. Вы можете скачать как CSV-файл или JSON.

При выборе любого параметра запускается скачивание. События загружаются на основе диапазона времени, выбранного в фильтре. Если вы выбрали один день, вы получите один день стоимость возвращаемых данных. Если вы хотите все 90 дней, выберите 90 дней из фильтра диапазона времени, а затем запустите загрузку.

Примечание.

Для долгосрочного хранения и анализа событий аудита рассмотрите возможность отправки событий вниз в средство управления сведениями и событиями безопасности (SIEM) с помощью функции потоковой передачи аудита. Для анализа курсорных данных рекомендуется экспортировать журналы аудита.

Чтобы отфильтровать данные по большему диапазону даты и времени, рекомендуется скачать журналы в виде CSV-файлов и импортировать Microsoft Excel или другие средства синтаксического анализа CSV для просмотра столбцов "Область" и "Категория". Для анализа даже больших наборов данных рекомендуется отправлять экспортированные события аудита в средство управления инцидентами безопасности и событиями (SIEM) с помощью функции потоковой передачи аудита. Такие средства позволяют хранить более 90 дней событий, поисков, созданных отчетов и настроенных оповещений на основе событий аудита.

Ограничения

Для аудита существуют следующие ограничения.

  • Изменения членства в группах Microsoft Entra. Журналы аудита включают обновления для групп Azure DevOps и членства в группах (если область событий — "Группы"). Однако если вы управляете членством с помощью групп Microsoft Entra, такие дополнения и удаления пользователей из этих групп Microsoft Entra не проверяются Azure DevOps в этих журналах. Просмотрите журналы аудита Microsoft Entra, чтобы узнать, когда пользователь или группа были добавлены или удалены из группы Microsoft Entra.
  • События входа. Мы не отслеживаем события входа для Azure DevOps. Просмотрите журналы аудита Microsoft Entra, чтобы просмотреть события входа в идентификатор Microsoft Entra.

Часто задаваемые вопросы

Вопрос. Что такое группа DirectoryServiceAddMember и почему она отображается в журнале аудита?

Ответ. Группа DirectoryServiceAddMember — это системная группа, используемая для управления членством в организации Azure DevOps. Членство в этой системной группе может повлиять на множество системных, пользовательских и административных действий. Так как эта группа является системной группой, используемой только для внутренних процессов, клиенты могут игнорировать записи журнала аудита, которые фиксируют изменения членства в этой группе.