Denetim günlüklerini dışarı aktarma, filtreleme ve erişme
Azure DevOps Services | Azure DevOps Server 2022
Not
Denetim hala genel önizleme aşamasındadır.
Kuruluş Ayarlarınızın Denetim sayfasında, Azure DevOps kuruluşunuzda gerçekleşen birçok değişikliği izleyen denetim günlüklerine erişebilir, bunları dışarı aktarabilir ve filtreleyebilirsiniz. Bu günlüklerle, kuruluşunuzun uyumluluk ve idare hedeflerini karşılamak için bunları kullanabilirsiniz.
Önemli
Denetim yalnızca Azure Active Directory tarafından yönetilen kuruluşlar tarafından kullanılabilir. Daha fazla bilgi için bkz . Kuruluşunuzu Azure Active Directory'ye bağlama.
Kuruluş içindeki bir kullanıcı veya hizmet kimliği bir yapıtın durumunu her düzenleyişinde denetim değişiklikleri gerçekleşir. Aşağıdaki durumlardan herhangi biri için günlüğe kaydedilen olayları görebilirsiniz:
- izin değişiklikleri
- silinen kaynaklar
- dal ilkesi değişiklikleri
- günlük erişimini ve indirmelerini denetleme
- ve çok daha fazlası...
Olaylar 90 gün boyunca depolanır ve daha sonra silinir. Ancak, verileri 90 günlük süreden daha uzun süre tutmak için denetim olaylarını bir dış konuma yedekleyebilirsiniz.
Denetim olaylarına Kuruluş Ayarlarınızdaki Denetim sayfasından iki yöntemle erişilebilir:
- Ana Günlükler sekmesinde bulunan Denetim günlükleri aracılığıyla ve
- Akışlar sekmesi aracılığıyla ayarlanan herhangi bir Denetim akışı aracılığıyla.
Not
Denetim, Azure DevOps Server şirket içi dağıtımlarında kullanılamaz. Bir Azure DevOps Services örneğinden Splunk'un şirket içi veya bulut tabanlı örneğine Denetim akışı bağlamak mümkündür, ancak gelen bağlantılar için IP aralıklarına izin verdiğinizden emin olmanız gerekir. Ayrıntılar için bkz . İzin verilen adres listeleri ve ağ bağlantıları, IP adresleri ve aralık kısıtlamaları.
Önkoşullar
Denetim, tüm Azure DevOps Services kuruluşlar için varsayılan olarak kapalıdır ve Kuruluş Ayarları sayfasında kuruluş Sahipleri ve Proje Koleksiyonu Yöneticileri tarafından açılıp kapatılabilir. Varsayılan olarak, Denetim özelliğine tam erişimi olan tek grup Proje Koleksiyonu Yöneticileridir.
Denetim izinleri
- Varsayılan olarak , kuruluş Sahipleri ve Proje Koleksiyonu Yöneticileri gruplarının üyeleri tüm Denetim özelliklerine tam erişime sahiptir.
- Kuruluş Ayarları'ndaki Güvenlik İzinleri sayfası aracılığıyla herhangi bir gruba belirli Denetim izinleri verilebilir.
Not
Kuruluş için Belirli projelerde görünürlüğü ve işbirliğini sınırla önizleme özelliği etkinleştirildiyse, Proje Kapsamlı Kullanıcılar grubuna eklenen kullanıcılar Denetimi görüntüleyemez ve Kuruluş ayarları sayfalarında sınırlı görünürlüğe sahiptir. Daha fazla bilgi ve güvenlikle ilgili önemli bahsetmeler için bkz. Kuruluşunuzu yönetme, Projeler için kullanıcı görünürlüğünü sınırlama ve daha fazlası.
Denetimi etkinleştirme ve devre dışı bırakma
Kuruluşunuzda (
https://dev.azure.com/{yourorganization}) oturum açın.
Kuruluş ayarları'nı seçin.Güvenlik üst bilgisinin altında İlkeler'i seçin.
Denetim Olaylarını Günlüğe Kaydet düğmesini AÇIN.
Kuruluşta artık Denetim etkinleştirilecektir. Kenar çubuğunda Denetim'in gösterildiğini görmek için sayfayı yenilemeniz gerekebilir. Denetim olayları Denetim Günlüklerinde ve yapılandırılmış tüm denetim akışları aracılığıyla görünmeye başlar.
- Artık Denetim olaylarını almak istemiyorsanız, Denetimi Etkinleştir düğmesini KAPALI olarak değiştirin. Düğme kapatıldığında, Denetim sayfası artık kenar çubuğunda görünmez ve Denetim Günlükleri sayfası kullanılamaz. Tüm denetim akışları olayları almayı durdurur.
Erişim denetimi
Kuruluşunuzda (
https://dev.azure.com/{yourorganization}) oturum açın.- Kuruluş ayarları'nı seçin.
Denetim'i seçin.
Kuruluş ayarlarında Denetim'i görmüyorsanız, denetim olaylarını görüntüleme erişiminiz yoktur. Proje Koleksiyonu Yöneticileri grubu, denetim sayfalarını görüntüleyebilmeleri için diğer kullanıcılara ve gruplara izin verebilir. Bunu yapmak için İzinler'i seçin ve denetim erişimi sağlayacak grubu veya kullanıcıları bulun.
Denetim günlüğünü görüntüle'yiizin verecek şekilde ayarlayın ve ardından Değişiklikleri kaydet'i seçin.
Kullanıcı veya grup üyeleri artık kuruluşunuzun denetim olaylarını görüntüleme erişimine sahip olacaktır.
Denetim günlüğünü gözden geçirme
Denetim sayfası, kuruluşunuz için kaydedilen denetim olaylarının basit bir görünümünü sağlar. Denetim sayfasında görünen bilgilerin aşağıdaki açıklamasına bakın:
Olay bilgilerini ve ayrıntılarını denetleme
| Bilgi | Ayrıntılar |
|---|---|
| Actor (Oyuncu) | Denetim olayını tetikleyen kişinin görünen adı. |
| IP | Denetim olayını tetikleyen kişinin IP adresi. |
| Zaman damgası | Tetiklenen olayın gerçekleştiği zaman. Zaman, saat diliminize göre yerelleştirilir. |
| Alan | Olayın gerçekleştiği Azure DevOps ürün alanı. |
| Kategori | Gerçekleşen eylem türünün açıklaması (örneğin, değiştirme, yeniden adlandırma, oluşturma, silme, kaldırma, yürütme ve erişim olayı). |
| Ayrıntılar | Olay sırasında gerçekleştirilen işlemlerin kısa açıklaması. |
Her denetim olayı ayrıca denetim sayfasında görüntülenebilen ek bilgiler kaydeder. Bu bilgiler kimlik doğrulama mekanizmasını, benzer olayları birbirine bağlamak için bir bağıntı kimliği, kullanıcı aracısı ve denetim olayı türüne bağlı olarak daha fazla veri içerir. Bu bilgileri görüntülemek için denetim olaylarını CSV veya JSON biçiminde dışarı aktarmanız gerekir.
Kimlik & bağıntı kimliği
Her denetim olayının "ID" ve "CorrelationID" adlı benzersiz tanımlayıcıları vardır. Bağıntı kimliği, ilgili denetim olaylarını bulmak için yararlıdır. Örneğin, oluşturulan bir proje birkaç düzine denetim olayı oluşturabilir. Hepsi aynı bağıntı kimliğine sahip olduğundan bu olayları birbirine bağlayabilirsiniz.
Bir denetim olayı kimliği bağıntı kimliğiyle eşleştiğinde, denetim olayının üst veya özgün olay olduğunu gösterir. Yalnızca kaynak olayları görmek için, "Kimlik"in söz konusu "Bağıntı Kimliği"ne eşit olduğu olayları arayın. Ardından, bir olayı ve ilgili olaylarını araştırmak isterseniz, kaynak olayın kimliğiyle eşleşen bir bağıntı kimliğine sahip tüm olayları arayabilirsiniz. Tüm olayların ilgili olayları yoktur.
Toplu olaylar
Bazı denetim olayları aynı anda gerçekleşen ve "toplu denetim olayları" olarak da bilinen birden çok eylem içerebilir. Olayın sağ ucundaki "Bilgi simgesi" ile bu olayları diğerlerinden ayırt edebilirsiniz. İndirilen denetim verileri aracılığıyla toplu denetim olaylarına dahil edilen eylemlerle ilgili tek tek ayrıntıları bulabilirsiniz.
Bilgi simgesini seçtiğinizde, bu denetim olayında ne olduğu hakkında ek bilgiler görüntülenir.
Denetim olaylarını incelerken, ilgilendiğiniz Kategori ve Alan sütunlarını bulabilirsiniz. Bu sütunlar yalnızca ilgilendiğiniz olay türlerini bulmak için geçiş yapmanızı sağlar. Aşağıdaki tablolar, kategorilerin ve alanların listesi ve açıklamalarıdır:
Olay listesi
Aylık olarak yeni denetim olayları eklemek için elimizden geleni yapıyoruz. Şu anda izlenmeyen bir olay görmek istiyorsanız, bunu Geliştirici Topluluğu bizimle paylaşmayı göz önünde bulundurun.
Şu anda Denetim özelliği aracılığıyla yayabildiğimiz tüm olayların tam listesi için bkz. Denetim Olayları Listesi.
Not
Kuruluşunuzun günlüğe hangi olay alanlarını günlüğe kaydedeceklerini öğrenmek ister misiniz? Denetim Günlüğü Sorgusu API'sine göz atmayı unutmayın: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, {YOUR_ORGANIZATION} yerine kuruluşunuzun adını yazın. Bu API, kuruluşunuzun yayabileceği tüm denetim olaylarının (veya eylemlerin) listesini döndürür.
Denetim günlüğünü tarih ve saate göre filtreleme
Geçerli Denetim kullanıcı arabiriminde olayları yalnızca tarih veya saat aralığına göre filtreleyebilirsiniz. Görüntülenebilir denetim olaylarının kapsamını bir tarih aralığına göre daraltmak için sayfanın sağ üst tarafındaki zaman filtresini seçin.
Filtreleri kullanarak son 90 gün içindeki herhangi bir zaman aralığını seçin ve kapsamı dakika olarak daraltın. Bir zaman aralığı seçtikten sonra aramayı başlatmak için zaman aralığı seçicisinde Uygula'yı seçin. Varsayılan olarak, bu zaman seçimi için ilk 200 sonuç döndürülür. Daha fazla sonuç varsa sayfaya yüklemek için aşağı kaydırabilirsiniz.
Denetim olaylarını dışarı aktarma
Denetim verileri üzerinde daha ayrıntılı bir arama yapmak veya verileri 90 günden uzun bir süre boyunca depolamak için mevcut denetim olaylarını dışarı aktarmanız gerekir. Dışarı aktarılan veriler daha sonra başka bir konumda veya hizmette depolanabilir.
Denetim olaylarını dışarı aktarmak için denetim sayfasının sağ üst kısmındaki İndir düğmesini seçin. CSV veya JSON dosyası olarak indirmeyi seçebilirsiniz.
her iki seçenek de seçildiğinde indirme başlatılır. Olaylar, filtrede seçtiğiniz zaman aralığına göre indirilir. Bir gün seçtiyseniz, bir günlük veri döndürülür. Tersine, 90 günün tümünü istiyorsanız, zaman aralığı filtresinden 90 gün seçin ve indirmeyi başlatın.
Not
Denetim olaylarınızın uzun süreli depolanması ve analizi için, Denetim Akışı özelliğini kullanarak olaylarınızın aşağı akışını bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aracına göndermeyi göz önünde bulundurun. Denetim günlüklerinin dışarı aktarılması, imleçli veri analizi için önerilir.
Verileri tarih/saat aralığından daha fazla filtrelemek için günlükleri CSV dosyası olarak indirmenizi ve Microsoft Excel'i veya diğer CSV ayrıştırıcılarını Alan ve Kategori sütunlarını inceleyerek içeri aktarmanızı öneririz. Daha da büyük veri kümelerinde analiz için, Denetim Akışı işlevini kullanarak dışarı aktarılan denetim olaylarını Güvenlik Olayı ve Olay Yönetimi (SIEM) aracına yüklemenizi öneririz. Bu tür araçlar 90 günden fazla etkinlik, arama, oluşturulan rapor ve denetim olaylarını temel alan yapılandırılmış uyarıları tutmanızı sağlar.
Sınırlamalar
Denetlenebilecekler için aşağıdaki sınırlamalar vardır.
- Azure Active Directory (Azure AD) grup üyeliği değişiklikleri – Denetim Günlükleri, Azure DevOps gruplarına ve grup üyeliğine (olay Alanı "Gruplar" olduğunda) yapılan güncelleştirmeleri içerir. Ancak, üyeliği Azure AD grupları aracılığıyla yönetiyorsanız, bu Azure AD gruplarından kullanıcı ekleme ve kaldırma işlemleri bu günlüklerde Azure DevOps tarafından denetlenmiyor. Bir kullanıcı veya grubun Azure AD grubuna ne zaman eklendiğini veya kaldırıldığını görmek için Azure AD denetim günlüklerini gözden geçirin.
- Oturum açma olayları – Azure DevOps için oturum açma olaylarını izlemiyoruz. Azure AD oturum açma olaylarını gözden geçirmek için Azure AD denetim günlüklerini görüntüleyin.
Sık sorulan sorular
S: DirectoryServiceAddMember grubu nedir ve denetim günlüğünde neden görünüyor?
Y: DirectoryServiceAddMember grubu, Azure DevOps kuruluşunuza üyeliği yönetmeye yardımcı olmak için kullanılan bir sistem grubudur. Bu sistem grubu üyeliği birçok sistem, kullanıcı ve yönetim eyleminden etkilenebilir. Bu grup yalnızca iç işlemler için kullanılan bir sistem grubu olduğundan, müşteriler bu gruptaki üyelik değişikliklerini yakalayan denetim günlüğü girişlerini göz ardı edebilir.