访问、导出和筛选审核日志
Azure DevOps Services
注意
审核仍处于公共预览状态。
跟踪 Azure DevOps 环境中的活动对于安全性和合规性至关重要。 审核有助于监视和记录这些活动,从而提供透明度和责任。 本文介绍审核功能,并演示如何设置和有效地使用它。
重要
审核仅适用于 Microsoft Entra ID 支持的组织。 有关详细信息,请参阅将组织连接到 Microsoft Entra ID。
每当组织内的用户或服务标识编辑项目的状态时,将发生审核更改。 可能记录的事件包括:
- 权限更改
- 已删除的资源
- 分支策略更改
- 日志访问和下载
- 许多其他类型的更改
这些日志提供活动的综合记录,帮助你监视和管理 Azure DevOps 组织的安全性和合规性。
审核事件在删除前存储 90 天。 若要将数据保留更长时间,可以将审核事件备份到外部位置。
注意
审核不适用于Azure DevOps Server的本地部署。 但是,可以将审核流从 Azure DevOps Services 实例连接到本地或基于云的 Splunk 实例。 确保允许入站连接的 IP 范围。 有关详细信息,请参阅 允许的地址列表和网络连接、IP 地址和范围限制。
先决条件
默认情况下,所有 Azure DevOps Services 组织都会关闭审核。
权限:
- 若要 启用审核,请成为项目集合管理员组的成员。 组织所有者自动是此组的成员。
- 通过组织设置中的“安全>权限”页向任何组授予特定的审核权限。 此操作允许灵活管理谁可以查看和管理审核日志,确保只有经过授权的人员有权访问敏感的审核信息。
注意
如果为组织启用了“将用户可见性和协作限制为特定项目预览”功能,则“项目范围用户组”中的用户无法查看审核,并且对“组织设置”页面具有有限的可见性。 有关详细信息和重要的安全相关详细信息,请参阅 “管理组织”,限制项目的用户可见性等。
启用和禁用审核
登录组织 (
https://dev.azure.com/{yourorganization})。选择
组织设置。选择“安全”标头下的“策略”。
将 “日志审核事件 ”按钮切换到“打开”。
为组织启用审核。 刷新页面以查看 审核 显示在边栏中。 审核事件开始显示在审核日志中,并通过任何配置的审核流显示。
如果不再想要接收审核事件,请将“ 启用审核 ”按钮切换为 OFF。 此操作从 边栏中删除“审核 ”页,并使“审核日志”页不可用。 任何审核流都停止接收事件。
访问审核
登录组织 (
https://dev.azure.com/{yourorganization})。选择
组织设置。
选择“ 审核”。
如果在“组织设置”中看不到“审核”,则表示你无权查看审核事件。 项目集合管理员组可以向其他用户和组授予权限,以便他们可以查看审核页面。 为此,请选择“ 权限”,然后查找要提供审核访问权限的组或用户。
将 “查看审核日志 ”设置为 “允许”,然后选择“ 保存更改”。
用户或组成员有权查看组织的审核事件。
审查审核日志
“审核”页提供为组织记录的审核事件的简单视图。 请参阅审核页上可见信息的以下说明:
审核事件信息和详细信息
| 信息 | 详细信息 |
|---|---|
| Actor | 触发审核事件的个人的显示名称。 |
| IP | 触发审核事件的个人的 IP 地址。 |
| 时间戳 | 已触发事件发生的时间。 时间本地化为你所在的时区。 |
| 区域 | Azure DevOps 中发生事件的产品区域。 |
| 类别 | (发生的操作类型的说明,例如,修改、重命名、创建、删除、删除、执行和访问事件) 。 |
| 详细信息 | 简要描述事件期间发生的情况。 |
每个审核事件还记录审核页面上可查看内容的附加信息。 此信息包括身份验证机制、将类似事件链接在一起的相关 ID、用户代理,以及更多数据,具体取决于审核事件类型。 只能通过 CSV 或 JSON 导出审核事件来查看此信息。
ID 和关联 ID
每个审核事件都有调用 ID 和 CorrelationID的唯一标识符。 相关 ID 可用于查找相关的审核事件。 例如,创建项目可以生成几十个审核事件,所有事件都由同一关联 ID 链接。
当审核事件 ID 与其相关 ID 匹配时,它指示审核事件是父事件或原始事件。 若要仅查看原始事件,请查找等于IDCorrelation ID的事件。 如果要调查事件及其相关事件,请查找具有与发起事件 ID 匹配的相关 ID 的所有事件。 并非所有事件都有相关事件。
批量事件
某些审核事件(称为“批量审核事件”)可以包含同时发生的多个操作。 可以通过事件最右侧的“信息图标”标识这些事件。 若要查看批量审核事件中包含的操作的各个详细信息,请参阅下载的审核数据。
选择信息图标会显示有关审核事件的更多详细信息。
查看审核事件时,“类别”和“区域”列可以帮助你筛选和查找特定类型的事件。 下表列出了类别和区域及其说明:
事件列表
我们努力每月添加新的审核事件。 如果想要看到当前不可用的事件,请在开发者社区中与我们分享你的建议。
有关可通过审核功能发出的所有事件的综合列表,请参阅 审核事件列表。
注意
想要了解你的组织记录哪些事件区域? 请务必检查审核日志查询 API:https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions,将 {YOUR_ORGANIZATION} 替换为组织的名称。 此 API 返回组织可能发出的所有审核事件 (或) 操作的列表。
按日期和时间筛选审核日志
在当前的审核 UI 中,只能按日期或时间范围筛选事件。
若要缩小可查看的审核事件范围,请选择时间筛选器。
使用筛选器选择过去 90 天内的任何时间范围,并将其限定为分钟。 选择时间范围后,c
在时间范围选择器上选择“应用”以开始搜索。 默认情况下,前 200 个结果返回该时间选择。 如果有更多结果,可以向下滚动以将更多条目加载到页面上。
导出审核事件
若要对审核数据执行更详细的搜索或存储超过 90 天的数据,请导出现有的审核事件。 可以将导出的数据存储在其他位置或服务中。
若要导出审核事件,请选择“ 下载 ”按钮。 可以选择将数据下载为 CSV 或 JSON 文件。
下载包括基于筛选器中选择的时间范围的事件。 例如,如果选择一天,将获得一天的数据价值。 若要获取所有 90 天,请从时间范围筛选器中选择 90 天 ,然后开始下载。
注意
若要长期存储和分析审核事件,请考虑使用 审核流功能 将事件发送到安全信息和事件管理(SIEM)工具。 建议导出审核日志进行粗略的数据分析。
- 若要筛选日期/时间范围以外的数据,请将日志下载为 CSV 文件,并将其导入 Microsoft到 Excel 或其他 CSV 分析器中,以筛选“区域”和“类别”列。
- 若要分析较大的数据集,请使用 审核流函数将导出的审核事件上传到安全事件和事件管理(SIEM)工具。 SIEM 工具允许你保留超过 90 天的事件、执行搜索、生成报告并根据审核事件配置警报。
限制
以下限制适用于可审核的内容:
- Microsoft Entra 组成员身份更改:审核日志包括事件区域
Groups时对 Azure DevOps 组和组成员身份的更新。 但是,如果通过 Microsoft Entra 组管理成员身份,则这些日志中不包括从这些Microsoft Entra 组添加和删除用户。 查看Microsoft Entra 审核日志,以查看何时从 Microsoft Entra 组中添加或删除用户或组。 - 登录事件:Azure DevOps 不会跟踪登录事件。 若要查看Microsoft Entra ID 的登录事件,请查看 Microsoft Entra 审核日志。
- 间接用户添加: 在某些情况下,用户可能会间接添加到组织,并在审核日志中显示为由 Azure DevOps Services 添加。 例如,如果用户被分配到工作项,他们可能会自动添加到组织。 当为要添加的用户生成审核事件时,没有触发用户添加的工作项分配的相应审核事件。 若要跟踪这些事件,请考虑以下操作:
- 查看工作项历史记录,了解相应的时间戳,以查看此用户是否已分配到任何工作项。
- 检查审核日志中是否有可能提供上下文的任何相关事件。
常见问题解答
问:什么是 DirectoryServiceAddMember 组,为什么它出现在审核日志上?
答:该 DirectoryServiceAddMember 组可帮助管理组织中的成员身份。 许多系统、用户和管理操作可能会影响此系统组中的成员身份。 由于此组仅用于内部进程,因此可以忽略捕获对此组的成员身份更改的审核日志条目。