存取、匯出及篩選稽核記錄
Azure DevOps Services
注意
稽核仍處於公開預覽狀態。
追蹤 Azure DevOps 環境中的活動對於安全性和合規性至關重要。 稽核可協助您監視和記錄這些活動,以提供透明度和責任。 本文說明稽核功能,並示範如何設定並有效地使用它。
重要
稽核僅適用於受 Microsoft Entra ID 支援的組織。 如需詳細資訊,請參閱 將組織連線到 Microsoft Entra ID.
每當組織內的用戶或服務身分識別編輯成品的狀態時,就會進行稽核變更。 可能會記錄的事件包括:
- 許可權變更
- 已刪除的資源
- 分支原則變更
- 記錄存取和下載
- 許多其他類型的變更
這些記錄提供活動的完整記錄,協助您監視和管理 Azure DevOps 組織的安全性與合規性。
稽核事件會在刪除前儲存 90 天。 若要保留數據較長的時間,您可以將稽核事件備份到外部位置。
注意
稽核不適用於 Azure DevOps Server 的內部部署。 不過,您可以將稽核串流從 Azure DevOps Services 實例連線到內部部署或雲端式 Splunk 實例。 請確定您允許輸入連線的IP範圍。 如需詳細資訊,請參閱 允許的位址清單和網路連線、IP 位址和範圍限制。
必要條件
所有 Azure DevOps Services 組織預設都會關閉稽核。
權限:
- 若要啟用稽核,請成為 Project Collection Administrators 群組的成員。 組織擁有者自動成為這個群組的成員。
- 透過組織設定中的 [安全性>許可權] 頁面,將特定稽核許可權授與任何群組。 此動作允許彈性管理誰可以檢視及管理稽核記錄,確保只有獲授權的人員可以存取敏感性稽核資訊。
注意
如果已為組織啟用 [限制使用者可見度和共同作業至特定專案預覽功能],則 [專案範圍使用者] 群組中的使用者無法檢視稽核,且對 [組織設定] 頁面的可見性有限。 如需詳細資訊和重要的安全性相關詳細數據,請參閱 管理您的組織、限制專案的用戶可見度等等。
啟用和停用稽核
登入您的組織 (
https://dev.azure.com/{yourorganization})。選取 [
組織設定]。選取 [安全性] 標頭底下的 [原則]。
將 [ 記錄稽核事件] 按鈕切換至 [開啟]。
組織已啟用稽核。 重新整理頁面,以查看 稽核 出現在提要欄位中。 稽核事件開始出現在稽核記錄中,以及透過任何已設定的稽核數據流。
如果您不想再收到稽核事件,請將 [ 啟用稽核 ] 按鈕切換為 [關閉]。 此動作會 從提要字段移除 [稽核] 頁面,並讓 [稽核記錄] 頁面無法使用。 任何稽核數據流都會停止接收事件。
存取稽核
登入您的組織 (
https://dev.azure.com/{yourorganization})。選取 [
組織設定]。![顯示醒目提示 [組織設定] 按鈕的螢幕快照。](../../media/settings/open-admin-settings-vert.png?view=azure-devops)
選取 [ 稽核]。
如果您沒有在組織設定中看到稽核,則無法檢視稽核事件。 Project Collection Administrators 群組可以授與其他使用者和群組的許可權,讓他們可以檢視稽核頁面。 若要這樣做,請選取 [ 許可權],然後尋找群組或使用者以提供稽核存取權。
![醒目提示 [許可權] 索引標籤的螢幕快照。](media/azure-devops-auditing/select-permissions-preview.png?view=azure-devops)
將 [檢視稽核記錄] 設定為允許,然後選取 [儲存變更]。
使用者或群組成員可以檢視貴組織的稽核事件。
檢閱稽核記錄
[稽核] 頁面提供您組織所記錄稽核事件的簡單檢視。 請參閱下列稽核頁面上可見資訊的描述:
稽核事件信息和詳細數據
| 資訊 | 詳細資料 |
|---|---|
| Actor | 觸發稽核事件的個人顯示名稱。 |
| IP | 觸發稽核事件的個人 IP 位址。 |
| 時間戳記 | 觸發事件的發生時間。 時間會當地語系化為您的時區。 |
| 區域 | 發生事件的 Azure DevOps 產品區域。 |
| 類別 | 所發生動作類型的描述(例如,修改、重新命名、建立、刪除、移除、執行和存取事件)。 |
| 詳細資料 | 簡短描述事件發生的狀況。 |
每項稽核事件也會在 [稽核] 頁面的可檢視內容中記錄其他資訊。 此資訊包括驗證機制、相互關聯標識碼,可根據稽核事件類型,將類似事件連結在一起、使用者代理程式和更多數據。 這項資訊只能透過匯出 CSV 或 JSON 稽核事件來檢視。
標識碼和相互關聯標識碼
每個稽核事件都有稱為 ID 和 CorrelationID的唯一標識符。 相互關聯標識碼有助於尋找相關的稽核事件。 例如,建立專案可能會產生數十個稽核事件,這些事件全都由相同的相互關聯標識符連結。
當稽核事件標識碼符合其相互關聯標識符時,表示稽核事件是父事件或原始事件。 若要只查看原始事件,請尋找 等於 ID Correlation ID的事件。 如果您想要調查事件及其相關事件,請查閱具有符合原始事件標識碼之相互關聯標識碼的所有事件。 並非所有事件都有相關的事件。
大量事件
某些稱為「大量稽核事件」的稽核事件可以同時包含多個動作。 您可以透過事件最右邊的「資訊圖示」來識別這些事件。 若要檢視大量稽核事件中包含的動作個別詳細數據,請參閱下載的稽核數據。
選取資訊圖示會顯示有關稽核事件的詳細數據。
當您檢閱稽核事件時,[類別] 和 [區域] 資料行可協助您篩選及尋找特定類型的事件。 下表列出類別和區域及其描述:
事件清單
我們努力每月新增稽核事件。 如果您想要看到目前無法使用的事件,請在 開發人員社群 與我們分享您的建議。
如需可透過稽核功能發出之所有事件的完整清單,請參閱 稽核事件清單。
注意
想要瞭解您的組織記錄哪些事件區域? 請務必簽出稽 核記錄查詢 API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions,並將 {YOUR_ORGANIZATION} 取代為您的組織名稱。 此 API 會傳回組織可發出的所有稽核事件(或動作)清單。
依日期和時間篩選稽核記錄
在目前的稽核 UI 中,您只能依日期或時間範圍篩選事件。
若要縮小可檢視的稽核事件範圍,請選取時間篩選。
使用篩選條件來選取過去 90 天內的任何時間範圍,並將範圍縮小到分鐘。 選取時間範圍之後,c
選取 時間範圍選取器上的 [套用 ] 以開始搜尋。 根據預設,前 200 個結果會傳回該時間選取範圍。 如果有更多結果,您可以向下捲動以將更多專案載入頁面。
匯出稽核事件
若要對稽核數據執行更詳細的搜尋,或儲存超過90天的數據,請導出現有的稽核事件。 您可以將匯出的數據儲存在另一個位置或服務中。
若要匯出稽核事件,請選取 [ 下載] 按鈕。 您可以選擇將資料下載為 CSV 或 JSON 檔案。
下載會根據您在篩選中選取的時間範圍來包含事件。 例如,如果您選取一天,就會取得一天的數據。 若要取得所有 90 天,請從時間範圍篩選選取 90 天 ,然後開始下載。
注意
若要長期儲存和分析稽核事件,請考慮使用 稽核串流功能 將事件傳送至安全性資訊和事件管理 (SIEM) 工具。 建議您匯出稽核記錄,進行簡略資料分析。
- 若要篩選超出日期/時間範圍的數據,請下載記錄檔作為 CSV 檔案,並將其匯入至Microsoft Excel 或其他 CSV 剖析器,以篩選 [區域] 和 [類別] 資料行。
- 若要分析較大的數據集,請使用 稽核串流函式,將導出的稽核事件上傳至安全性事件和事件管理 (SIEM) 工具。 SIEM 工具可讓您保留超過90天的事件、執行搜尋、產生報告,以及根據稽核事件設定警示。
限制
下列限制適用於可稽核的內容:
- Microsoft Entra 群組成員資格變更:當事件區域為
Groups時,稽核記錄包含 Azure DevOps 群組和群組成員資格的更新。 不過,如果您透過 Microsoft Entra 群組管理成員資格,這些記錄中不會包含來自這些Microsoft Entra 群組的使用者新增和移除。 檢閱Microsoft Entra 稽核記錄,以查看使用者或群組何時從Microsoft Entra 群組新增或移除。 - 登入事件:Azure DevOps 不會追蹤登入事件。 若要檢閱登入事件到您的Microsoft Entra標識符,請檢視Microsoft Entra 稽核記錄。
- 間接使用者新增: 在某些情況下,使用者可能會間接新增至您的組織,並在稽核記錄中顯示為 Azure DevOps Services 所新增。 例如,如果使用者被指派給工作項目,他們可能會自動新增至組織。 針對要新增的用戶產生稽核事件時,觸發使用者新增的工作專案指派沒有對應的稽核事件。 若要追蹤這些事件,請考慮下列動作:
- 檢閱您的工作專案歷程記錄中對應的時間戳,以查看此使用者是否已指派給任何工作專案。
- 檢查稽核記錄中是否有任何可能提供內容的相關事件。
常見問題集
問:什麼是 DirectoryServiceAddMember 群組,以及它為何出現在稽核記錄檔上?
答:群組 DirectoryServiceAddMember 可協助您管理組織中的成員資格。 許多系統、使用者及系統管理動作可能會影響此系統群組的成員資格。 由於此群組僅用於內部進程,因此您可以忽略擷取此群組成員資格變更的稽核記錄專案。