访问、导出和筛选审核日志
Azure DevOps Services
注意
审核仍处于公共预览状态。
在“组织设置”的“审核”页上,可以访问、导出和筛选审核日志,这些日志可跟踪 Azure DevOps 组织 () 发生的许多更改。 借助这些日志,可以使用它们来满足组织的合规性和治理目标。
重要
审核仅适用于 Azure Active Directory 支持的组织。 有关详细信息,请参阅将组织连接到 Azure Active Directory。
每当组织内的用户或服务标识编辑项目的状态时,将发生审核更改。 你可能会看到记录以下任何事件的事件:
- 权限更改
- 已删除的资源
- 分支策略更改
- 审核日志访问和下载
- 还有更多...
事件存储 90 天,之后会被删除。 但你可以将审计事件备份到外部位置,从而使数据的保留时间超过 90 天。
可以通过组织设置中的“审核”页上的两种方法访问审核事件:
- 通过“main日志”选项卡下的“审核日志”,以及
- 通过“流”选项卡设置的任何审核 流 。
注意
审核不适用于Azure DevOps Server的本地部署。 可以将审核流从Azure DevOps Services实例连接到 Splunk 的本地或基于云的实例,但必须确保允许入站连接的 IP 范围。 有关详细信息,请参阅 允许的地址列表和网络连接、IP 地址和范围限制。
先决条件
默认情况下,所有Azure DevOps Services组织都禁用了审核,组织所有者和项目集合管理员可在“组织设置”页中打开和关闭审核。 默认情况下,项目集合管理员是唯一具有审核功能完全访问权限的组。
审核权限
- 默认情况下, 组织“所有者” 和 “项目集合管理员 ”组的成员对所有审核功能具有完全访问权限。
- 可以通过“组织设置”中的“安全权限”页向任何组授予特定审核权限。
注意
如果为组织启用了 “将用户可见性和协作限制为特定项目 ”预览功能,则添加到 “项目范围用户” 组的用户无法查看 “审核 ”,并且对 组织设置 页面的可见性有限。 有关详细信息和重要的安全相关提及,请参阅 管理组织、限制项目的用户可见性等。
启用和禁用审核
登录组织 (
https://dev.azure.com/{yourorganization})。选择
“组织设置”。选择“安全”标头下的“策略”。
将 “日志审核事件 ”按钮切换为“打开”。
组织现在将启用审核。 可能需要刷新页面才能在边栏中看到 “审核 ”显示。 审核事件将开始显示在审核日志上,并通过已配置的任何审核流显示。
- 如果不再想要接收审核事件,请将 “启用审核” 按钮切换为“关闭”。 关闭按钮后,边栏中将不再显示 “审核 ”页,并且“审核日志”页将不可用。 任何审核流都将停止接收事件。
访问审核
登录组织 (
https://dev.azure.com/{yourorganization})。选择
“组织设置”。
选择“ 审核”。
如果在“组织设置”中看不到“审核”,则表示你无权查看审核事件。 项目集合管理员组可以向其他用户和组授予权限,以便他们可以查看审核页面。 为此,请选择“ 权限”,然后查找要提供审核访问权限的组或用户。
将 “查看审核日志 ”设置为 “允许”,然后选择“ 保存更改”。
用户或组成员现在有权查看组织的审核事件。
审查审核日志
“审核”页提供为组织记录的审核事件的简单视图。 请参阅审核页上可见信息的以下说明:
审核事件信息和详细信息
| 信息 | 详细信息 |
|---|---|
| Actor | 触发审核事件的个人的显示名称。 |
| IP | 触发审核事件的个人的 IP 地址。 |
| 时间戳 | 已触发事件发生的时间。 时间本地化为你所在的时区。 |
| 区域 | Azure DevOps 中发生事件的产品区域。 |
| 类别 | (发生的操作类型的说明,例如,修改、重命名、创建、删除、删除、执行和访问事件) 。 |
| 详细信息 | 简要描述事件期间发生的情况。 |
每个审核事件还记录审核页面上可查看内容的附加信息。 此信息包括身份验证机制、将类似事件链接在一起的相关 ID、用户代理,以及更多数据,具体取决于审核事件类型。 只能通过 CSV 或 JSON 导出审核事件来查看此信息。
ID & 相关 ID
每个审核事件都有称为“ID”和“CorrelationID”的唯一标识符。 相关 ID 有助于查找相关的审核事件。 例如,创建的项目可以生成几十个审核事件。 可以将这些事件链接在一起,因为它们都具有相同的关联 ID。
当审核事件 ID 与其相关 ID 匹配时,它指示审核事件是父事件或原始事件。 若要仅查看原始事件,请查找“ID”等于相关“相关 ID”的事件。 然后,如果要调查事件及其相关事件,可以使用与原始事件 ID 匹配的相关 ID 查找所有事件。 并非所有事件都有相关事件。
批量事件
某些审核事件可以包含同时发生的多个操作,也称为“批量审核事件”。 可以通过事件最右侧的“信息图标”将这些事件与其他事件区分开来。 可以通过下载的审核数据查找有关批量审核事件中包含的操作的个人详细信息。
选择信息图标会显示有关此审核事件中发生的情况的其他信息。
浏览审核事件时,可能会发现感兴趣的 “类别” 和 “区域” 列。 这些列允许筛选,以便仅查找感兴趣的事件类型。 下表是类别和区域及其说明的列表:
事件列表
我们尽力每月添加新的审核事件。 如果希望看到当前未跟踪的事件,请考虑在开发者社区与我们共享该事件。
有关当前可以通过审核功能发出的所有事件的完整列表,请参阅 审核事件列表。
注意
想要了解你的组织记录哪些事件区域? 请务必检查审核日志查询 API:https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions,将 {YOUR_ORGANIZATION} 替换为组织的名称。 此 API 返回组织可能发出的所有审核事件 (或) 操作的列表。
按日期和时间筛选审核日志
在当前审核 UI 中,只能按日期或时间范围筛选事件。 若要按日期范围缩小可查看的审核事件的范围,请选择页面右上角的时间筛选器。
使用筛选器选择过去 90 天的任何时间范围,并将其范围缩小到分钟。 选择时间范围后,在时间范围选择器上选择“应用”以开始搜索。 默认情况下,将针对该时间选择返回前 200 个结果。 如果有更多结果,则可以向下滚动以将其加载到页面上。
导出审核事件
若要对审核数据执行更详细的搜索或存储超过 90 天的数据,需要导出现有的审核事件。 然后,导出的数据可以存储在另一个位置或服务中。
选择审核页面右上角的“ 下载 ”按钮以导出审核事件。 可以选择下载为 CSV 或 JSON 文件。
选择任一选项将启动下载。 根据在筛选器中选择的时间范围下载事件。 如果选择了一天,则返回一天的数据。 横向,如果想要全部 90 天,请从时间范围筛选器中选择 90 天,然后开始下载。
注意
若要长期存储和分析审核事件,请考虑使用 审核流式处理功能将事件下游发送到安全信息和事件管理 (SIEM) 工具。 建议导出审核日志进行粗略数据分析。
若要按超过日期/时间范围筛选数据,建议将日志下载为 CSV 文件,并导入 Microsoft Excel 或其他 CSV 分析程序以筛选“区域”和“类别”列。 若要分析更大的数据集,建议使用审核 流式处理功能将导出的审核事件上传到安全事件和事件管理 (SIEM) 工具。 此类工具允许你根据审核事件保留超过 90 天的事件、搜索、生成的报告和配置的警报。
限制
可审核的内容存在以下限制。
- Azure Active Directory (Azure AD) 组成员身份更改 - 审核日志包括对 Azure DevOps 组的更新,以及当事件区域为“组”) 时,组成员身份 (。 但是,如果通过 Azure AD 组管理成员身份,Azure DevOps 不会在这些日志中审核从这些 Azure AD 组中添加或删除用户的此类操作。 查看 Azure AD 审核日志,了解何时在 Azure AD 组中添加或删除用户或组。
- 登录事件 - 我们不跟踪 Azure DevOps 的登录事件。 查看 Azure AD 审核日志,查看 Azure AD 的登录事件。
常见问题
问:什么是 DirectoryServiceAddMember 组,为什么它出现在审核日志上?
答:DirectoryServiceAddMember 组是一个系统组,用于帮助管理 Azure DevOps 组织的成员身份。 此系统组的成员身份可能会受到许多系统、用户和管理操作的影响。 由于此组是仅用于内部进程的系统组,因此客户可以忽略捕获此组成员身份更改的审核日志条目。