Denetim günlüklerini dışarı aktarma, filtreleme ve erişme
Azure DevOps Services
Dekont
Denetim hala genel önizleme aşamasındadır.
Kuruluşunuz Ayarlar Denetim sayfasında, Azure DevOps kuruluşunuzda gerçekleşen birçok değişikliği izleyen denetim günlüklerine erişebilir, bunları dışarı aktarabilir ve filtreleyebilirsiniz. Bu günlüklerle, kuruluşunuzun uyumluluk ve idare hedeflerini karşılamak için bunları kullanabilirsiniz.
Önemli
Denetim yalnızca Microsoft Entra Id tarafından yedeklenen kuruluşlarda kullanılabilir. Daha fazla bilgi için bkz. Kuruluşunuzu Microsoft Entra Id'ye Bağlan.
Kuruluştaki bir kullanıcı veya hizmet kimliği yapıtın durumunu her düzenleyişinde denetim değişiklikleri gerçekleşir. Aşağıdaki durumlardan herhangi biri için günlüğe kaydedilen olayları görebilirsiniz:
- izin değişiklikleri
- silinen kaynaklar
- dal ilkesi değişiklikleri
- günlük erişimini ve indirmelerini denetleme
- ve çok daha fazlası...
Olaylar 90 gün boyunca depolanır ve daha sonra silinir. Ancak, verileri 90 günlük süreden daha uzun süre tutmak için denetim olaylarını bir dış konuma yedekleyebilirsiniz.
Denetim olaylarına, Kuruluşunuzun denetim sayfasındaki iki yöntemle erişilebilir Ayarlar:
- Ana Günlükler sekmesinde bulunan Denetim günlükleri aracılığıyla ve
- Akışlar sekmesinden ayarlanan denetim akışları aracılığıyla.
Dekont
Azure DevOps Server'ın şirket içi dağıtımlarında denetim kullanılamaz. Azure DevOps Services örneğinden Splunk'un şirket içi veya bulut tabanlı bir örneğine Denetim akışı bağlamak mümkündür, ancak gelen bağlantılar için IP aralıklarına izin verdiğinizden emin olmanız gerekir. Ayrıntılar için bkz . İzin verilen adres listeleri ve ağ bağlantıları, IP adresleri ve aralık kısıtlamaları.
Önkoşullar
Denetim, tüm Azure DevOps Services kuruluşları için varsayılan olarak kapalıdır ve Kuruluş Ayarlar sayfasında kuruluş Sahipleri ve Proje Koleksiyonu Yönetici istrator'lar tarafından açılıp kapatılabilir. Varsayılan olarak, Denetim özelliğine tam erişimi olan tek grup Project Collection Yönetici istrators'tır.
Denetim izinleri
- Varsayılan olarak, kuruluş Sahipleri ve Proje Koleksiyonu Yönetici istrators gruplarının üyeleri tüm Denetim özelliklerine tam erişime sahiptir.
- Kuruluş Ayarlar Güvenlik İzinleri sayfası aracılığıyla herhangi bir gruba belirli Denetim izinleri verilebilir.
Dekont
Kuruluş için Belirli projelerde kullanıcı görünürlüğünü ve işbirliğini sınırla önizleme özelliği etkinleştirildiyse, Proje Kapsamlı Kullanıcılar grubuna eklenen kullanıcılar Denetimi görüntüleyemez ve Kuruluş ayarları sayfalarında sınırlı görünürlüğe sahiptir. Daha fazla bilgi ve güvenlikle ilgili önemli bahsetmeler için bkz . Kuruluşunuzu yönetme, Projeler için kullanıcı görünürlüğünü sınırlama ve daha fazlası.
Denetimi etkinleştirme ve devre dışı bırakma
Kuruluşunuzda (
https://dev.azure.com/{yourorganization}) oturum açın.
Kuruluş ayarları'nı seçin.Güvenlik üst bilgisi altında İlkeler'i seçin.
Denetim Olaylarını Günlüğe Kaydet düğmesini AÇI.
Kuruluşta artık Denetim etkinleştirilecektir. Kenar çubuğunda Denetim'in gösterildiğini görmek için sayfayı yenilemeniz gerekebilir. Denetim olayları Denetim Günlüklerinde ve yapılandırılmış tüm denetim akışları aracılığıyla görünmeye başlar.
- Artık Denetim olaylarını almak istemiyorsanız Denetimi Etkinleştir düğmesini KAPALI olarak değiştirin. Düğme kapatıldığında, Denetim sayfası artık kenar çubuğunda görünmez ve Denetim Günlükleri sayfası kullanılamaz. Tüm denetim akışları olayları almayı durdurur.
Erişim denetimi
Kuruluşunuzda (
https://dev.azure.com/{yourorganization}) oturum açın.- Kuruluş ayarları'nı seçin.
Denetim'i seçin.
Kuruluş ayarlarında Denetim'i görmüyorsanız, denetim olaylarını görüntüleme erişiminiz yoktur. Project Collection Yönetici istrators grubu, denetim sayfalarını görüntüleyebilmeleri için diğer kullanıcılara ve gruplara izin verebilir. Bunu yapmak için İzinler'i seçin ve denetim erişimi sağlayacak grubu veya kullanıcıları bulun.
Denetim günlüğünü görüntüle'yi izin verecek şekilde ayarlayın ve ardından Değişiklikleri kaydet'i seçin.
Kullanıcı veya grup üyeleri artık kuruluşunuzun denetim olaylarını görüntüleme erişimine sahip olacak.
Denetim günlüğünü gözden geçirme
Denetim sayfası, kuruluşunuz için kaydedilen denetim olaylarının basit bir görünümünü sağlar. Denetim sayfasında görünen bilgilerin aşağıdaki açıklamasına bakın:
Olay bilgilerini ve ayrıntılarını denetleme
| Bilgi | Ayrıntılar |
|---|---|
| Actor (Oyuncu) | Denetim olayını tetikleyen kişinin görünen adı. |
| IP | Denetim olayını tetikleyen kişinin IP adresi. |
| Zaman damgası | Tetiklenen olayın gerçekleştiği zaman. Zaman, saat diliminize göre yerelleştirilir. |
| Alan | Olayın gerçekleştiği Azure DevOps ürün alanı. |
| Kategori | Gerçekleşen eylem türünün açıklaması (örneğin, değiştirme, yeniden adlandırma, oluşturma, silme, kaldırma, yürütme ve erişim olayı). |
| Ayrıntılar | Olay sırasında gerçekleştirilen işlemlerin kısa açıklaması. |
Her denetim olayı ayrıca denetim sayfasında görüntülenebilen ek bilgiler kaydeder. Bu bilgiler kimlik doğrulama mekanizmasını, benzer olayları birbirine bağlamak için bir bağıntı kimliğini, kullanıcı aracısını ve denetim olayı türüne bağlı olarak daha fazla veriyi içerir. Bu bilgileri görüntülemek için denetim olaylarını CSV veya JSON biçiminde dışarı aktarmanız gerekir.
Kimlik ve bağıntı kimliği
Her denetim olayının "ID" ve "CorrelationID" adlı benzersiz tanımlayıcıları vardır. Bağıntı kimliği, ilgili denetim olaylarını bulmak için yararlıdır. Örneğin, oluşturulan bir proje birkaç düzine denetim olayı oluşturabilir. Hepsi aynı bağıntı kimliğine sahip olduğundan bu olayları birbirine bağlayabilirsiniz.
Bir denetim olayı kimliği bağıntı kimliğiyle eşleştiğinde, denetim olayının üst veya özgün olay olduğunu gösterir. Yalnızca kaynak olayları görmek için, "Kimlik"in söz konusu "Bağıntı Kimliği"ne eşit olduğu olayları arayın. Ardından, bir olayı ve ilgili olaylarını araştırmak isterseniz, kaynak olayın kimliğiyle eşleşen bir bağıntı kimliğine sahip tüm olayları arayabilirsiniz. Tüm olayların ilgili olayları yoktur.
Toplu olaylar
Bazı denetim olayları aynı anda gerçekleşen ve "toplu denetim olayları" olarak da bilinen birden çok eylem içerebilir. Bu olayları, olayın sağ ucundaki "Bilgi simgesi" ile diğerlerinden ayırt edebilirsiniz. İndirilen denetim verileri aracılığıyla toplu denetim olaylarına dahil edilen eylemlerle ilgili tek tek ayrıntıları bulabilirsiniz.
Bilgi simgesini seçtiğinizde, bu denetim olayında ne olduğu hakkında ek bilgiler görüntülenir.
Denetim olaylarına göz atarken, ilgilendiğiniz Kategori ve Alan sütunlarını bulabilirsiniz. Bu sütunlar, yalnızca ilgilendiğiniz olay türlerini bulmak için geçiş yapmanızı sağlar. Aşağıdaki tablolar, kategorilerin ve alanların listesi ve açıklamalarıdır:
Olayların listesi
Aylık yeni denetim olayları eklemek için elimizden geleni yapıyoruz. Şu anda izlenmemiş bir olay görmek istiyorsanız, bunu Geliştirici Topluluğu bizimle paylaşmayı göz önünde bulundurun.
Şu anda Denetim özelliği aracılığıyla yayabildiğimiz tüm olayların tam listesi için Bkz . Denetim Olayları Listesi.
Dekont
Kuruluşunuzun hangi olay alanlarını günlüğe kaydedeceklerini öğrenmek mi istiyorsunuz? Denetim Günlüğü Sorgu API'sini kullanıma almalısınız: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, {YOUR_ORGANIZATION} yerine kuruluşunuzun adını yazın. Bu API, kuruluşunuzun yayabileceği tüm denetim olaylarının (veya eylemlerin) listesini döndürür.
Denetim günlüğünü tarih ve saate göre filtreleme
Geçerli Denetim kullanıcı arabiriminde olayları yalnızca tarih veya saat aralığına göre filtreleyebilirsiniz. Görüntülenebilir denetim olaylarının kapsamını bir tarih aralığına göre daraltmak için sayfanın sağ üst tarafındaki zaman filtresini seçin.
Son 90 gün içindeki herhangi bir zaman aralığını seçmek ve kapsamı dakika olarak daraltmak için filtreleri kullanın. Bir zaman aralığı seçtikten sonra aramayı başlatmak için zaman aralığı seçicisinde Uygula'yı seçin. Varsayılan olarak, bu zaman seçimi için ilk 200 sonuç döndürülür. Daha fazla sonuç varsa sayfaya yüklemek için ekranı aşağı kaydırabilirsiniz.
Denetim olaylarını dışarı aktarma
Denetim verileri üzerinde daha ayrıntılı bir arama yapmak veya verileri 90 günden uzun bir süre boyunca depolamak için mevcut denetim olaylarını dışarı aktarmanız gerekir. Dışarı aktarılan veriler daha sonra başka bir konumda veya hizmette depolanabilir.
Denetim olaylarını dışarı aktarmak için denetim sayfasının sağ üst kısmındaki İndir düğmesini seçin. CSV veya JSON dosyası olarak indirmeyi seçebilirsiniz.
her iki seçeneğin de seçilmesi indirme işlemini başlatır. Olaylar, filtrede seçtiğiniz zaman aralığına göre indirilir. Bir gün seçtiyseniz, bir günlük veri döndürülür. Tersine, tüm 90 gün istiyorsanız, zaman aralığı filtresinden 90 gün seçin ve indirmeyi başlatın.
Dekont
Denetim olaylarınızın uzun süreli depolanması ve analizi için Denetim Akışı özelliğini kullanarak olaylarınızın aşağı akışını bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aracına göndermeyi göz önünde bulundurun. Denetim günlüklerinin dışarı aktarılması, imleçli veri analizi için önerilir.
Verileri tarih/saat aralığından daha fazla filtrelemek için günlükleri CSV dosyası olarak indirmenizi ve Alan ve Kategori sütunlarında gezinmek için Microsoft Excel veya diğer CSV ayrıştırıcılarını içeri aktarmanızı öneririz. Daha da büyük veri kümelerinde analiz için, Denetim Akışı işlevini kullanarak dışarı aktarılan denetim olaylarını bir Güvenlik Olayı ve Olay Yönetimi (SIEM) aracına yüklemenizi öneririz. Bu tür araçlar, denetim olaylarını temel alarak 90 günden fazla etkinlik, arama, oluşturulan rapor ve yapılandırılmış uyarı tutmanızı sağlar.
Sınırlamalar
Denetlenebilecekler için aşağıdaki sınırlamalar vardır.
- Microsoft Entra grup üyeliği değişiklikleri – Denetim Günlükleri, Azure DevOps gruplarına ve grup üyeliğine yönelik güncelleştirmeleri içerir (olay Alanı "Gruplar" olduğunda). Bununla birlikte, üyeliği Microsoft Entra grupları aracılığıyla yönetiyorsanız, söz konusu Microsoft Entra gruplarından kullanıcıların bu tür eklemeleri ve kaldırmaları bu günlüklerde Azure DevOps tarafından denetlenmiyor. Bir kullanıcının veya grubun bir Microsoft Entra grubuna ne zaman eklendiğini veya kaldırıldığını görmek için Microsoft Entra denetim günlüklerini gözden geçirin.
- Oturum açma olayları – Azure DevOps için oturum açma olaylarını izlemiyoruz. Microsoft Entra kimlik bilgilerinizde oturum açma olaylarını gözden geçirmek için Microsoft Entra denetim günlüklerini görüntüleyin.
Sık sorulan sorular
S: DirectoryServiceAddMember grubu nedir ve denetim günlüğünde neden görüntüleniyor?
Y: DirectoryServiceAddMember grubu, Azure DevOps kuruluşunuza üyeliği yönetmeye yardımcı olmak için kullanılan bir sistem grubudur. Bu sistem grubu üyeliği birçok sistem, kullanıcı ve yönetim eyleminden etkilenebilir. Bu grup yalnızca iç işlemler için kullanılan bir sistem grubu olduğundan, müşteriler bu gruptaki üyelik değişikliklerini yakalayan denetim günlüğü girdilerini göz ardı edebilir.
İlgili makaleler
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin