存取、匯出及篩選稽核記錄
Azure DevOps Services
注意
稽核仍處於公開預覽狀態。
在組織 設定 的 [稽核] 頁面上,您可以存取、匯出和篩選稽核記錄,以追蹤 Azure DevOps 組織內發生的許多變更。 透過這些記錄,您可以使用它們來符合組織的合規性和治理目標。
重要
稽核僅適用於受 Microsoft Entra ID 支援的組織。 如需詳細資訊,請參閱 將組織連線到 Microsoft Entra ID.
每當組織內的用戶或服務身分識別編輯成品的狀態時,就會進行稽核變更。 您可能會看到針對下列任何一個項目記錄的事件:
- 許可權變更
- 已刪除的資源
- 分支原則變更
- 稽核記錄存取和下載
- 還有更多...
事件會儲存 90 天,之後就會予以刪除。 不過,您可以將稽核事件備份到外部位置,以將資料保留超過 90 天的期間。
您可以透過組織 [稽核] 頁面上的兩種方法來存取稽核事件 設定:
- 透過 [主要記錄] 索引標籤下的 [稽核記錄] ,以及
- 透過透過 [ 串流] 索引標籤設定的任何稽核數據流 。
注意
稽核不適用於 Azure DevOps Server 的內部部署。 您可以將稽核串流從 Azure DevOps Services 實例連線到內部部署或雲端式 Splunk 實例,但您必須確定允許輸入連線的 IP 範圍。 如需詳細資訊,請參閱 允許的位址清單和網路連線、IP 位址和範圍限制。
必要條件
根據預設,所有 Azure DevOps Services 組織的稽核都會關閉,而且組織擁有者和專案集合 管理員 管理員可以在 [組織 設定] 頁面中切換和關閉。 根據預設,Project Collection 管理員 istrators 是唯一具有稽核功能完整存取權的群組。
稽核權限
- 根據預設,組織擁有者和專案集合的成員 管理員 istrators 群組具有所有稽核功能的完整存取權。
- 您可以透過組織 設定 中的 [安全性許可權] 頁面,將特定稽核許可權授與任何群組。
注意
如果已為組織啟用 [限制使用者可見度和共同作業至特定專案預覽功能] ,則新增至 [專案範圍使用者] 群組的使用者無法檢視稽核,而且對 [組織設定] 頁面的可見度有限。 如需詳細資訊和重要的安全性相關提及,請參閱 管理您的組織、限制專案的用戶可見度等等。
啟用和停用稽核
登入您的組織 (
https://dev.azure.com/{yourorganization})。選取
組織設定。選取 [安全性] 標頭底下的 [原則]。
切換 [ 記錄稽核事件 ] 按鈕開啟。
組織現在會啟用稽核。 您可能需要重新整理頁面,才能看到 [稽核 ] 出現在提要字段中。 稽核事件將會開始出現在稽核記錄上,以及透過任何已設定的稽核數據流。
- 如果您不想再收到稽核事件,請將 [ 啟用稽核 ] 按鈕切換為 [關閉]。 關閉按鈕時, [稽核] 頁面將不再出現在提要欄中,而且 [稽核記錄] 頁面將無法使用。 任何稽核數據流都會停止接收事件。
存取稽核
登入您的組織 (
https://dev.azure.com/{yourorganization})。選取
組織設定。
選取 [ 稽核]。
如果您沒有在組織設定中看到稽核,則無法檢視稽核事件。 Project Collection 管理員 istrators 群組可以授與其他使用者和群組的許可權,以便檢視稽核頁面。 若要這樣做,請選取 [ 許可權],然後尋找群組或使用者以提供稽核存取權。
將 [檢視稽核記錄] 設定為允許,然後選取 [儲存變更]。
使用者或群組成員現在將有權檢視組織的稽核事件。
檢閱稽核記錄
[稽核] 頁面提供您組織所記錄稽核事件的簡單檢視。 請參閱下列稽核頁面上可見資訊的描述:
稽核事件信息和詳細數據
| 資訊 | 詳細資料 |
|---|---|
| Actor | 觸發稽核事件的個人顯示名稱。 |
| IP | 觸發稽核事件的個人 IP 位址。 |
| 時間戳記 | 觸發事件的發生時間。 時間會當地語系化為您的時區。 |
| 區域 | 發生事件的 Azure DevOps 產品區域。 |
| 類別 | 所發生動作類型的描述(例如,修改、重新命名、建立、刪除、移除、執行和存取事件)。 |
| 詳細資料 | 簡短描述事件發生的狀況。 |
每項稽核事件也會在 [稽核] 頁面的可檢視內容中記錄其他資訊。 此資訊包括驗證機制、相互關聯標識碼,可根據稽核事件類型,將類似事件連結在一起、使用者代理程式和更多數據。 這項資訊只能透過匯出 CSV 或 JSON 稽核事件來檢視。
標識碼和相互關聯標識碼
每個稽核事件都有稱為 「ID」 和 「CorrelationID」 的唯一識別碼。 相互關聯標識碼有助於尋找相關的稽核事件。 例如,建立的專案可以產生數十個稽核事件。 您可以將這些事件連結在一起,因為它們都有相同的相互關聯標識碼。
當稽核事件標識碼符合其相互關聯標識符時,表示稽核事件是父事件或原始事件。 若要查看原始事件,請尋找 「ID」 等於有問題的「相互關聯標識碼」的事件。 然後,如果您想要調查事件及其相關事件,您可以使用符合原始事件標識碼的相互關聯標識碼來查閱所有事件。 並非所有事件都有相關的事件。
大量事件
某些稽核事件可以包含一次發生的多個動作,也稱為「大量稽核事件」。 您可以將這些事件與其他人區別為事件最右邊的「資訊圖示」。 您可以透過下載的稽核數據,找到大量稽核事件中包含的動作個別詳細數據。
選取資訊圖示會顯示此稽核事件中所發生狀況的其他資訊。
當您查看稽核事件時,您可能會發現感興趣的 [類別] 和 [區域] 資料行。 這些數據行可讓您篩選,只尋找您感興趣的事件類型。 下表是類別和區域的清單,以及其描述:
事件清單
我們盡最大努力每月新增稽核事件。 如果您想要查看目前未追蹤的事件,請考慮在 開發人員社群 中與我們共用該事件。
如需我們目前可透過稽核功能發出之所有事件的完整清單,請參閱 稽核事件清單。
注意
想要瞭解您的組織記錄哪些事件區域? 請務必簽出稽 核記錄查詢 API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions,並將 {YOUR_ORGANIZATION} 取代為您的組織名稱。 此 API 會傳回組織可發出的所有稽核事件(或動作)清單。
依日期和時間篩選稽核記錄
在目前的稽核 UI 中,您只能依日期或時間範圍篩選事件。 若要依日期範圍縮小可檢視的稽核事件範圍,請選取頁面右上方的時間篩選。
使用篩選條件來選取過去 90 天內的任何時間範圍,並將範圍縮小到分鐘。 選取時間範圍之後,請選取 [在時間範圍選取器上套用] 以開始搜尋。 根據預設,系統會針對該時間選取傳回前 200 個結果。 如果有更多結果,您可以向下捲動以將結果載入頁面。
匯出稽核事件
若要對稽核數據或儲存超過 90 天的數據進行更詳細的搜尋,您必須導出現有的稽核事件。 然後,導出的數據可以儲存在另一個位置或服務中。
選取 稽核頁面右上方的 [下載 ] 按鈕,以匯出稽核事件。 您可以選擇下載為 CSV 或 JSON 檔案。
選取任一選項會啟動下載。 事件會根據您在篩選中選取的時間範圍來下載。 如果您選取了一天,則會傳回一天的數據。 相反地,如果您想要全部 90 天,請從時間範圍篩選選取 90 天,然後開始下載。
注意
若要長期儲存和分析稽核事件,請考慮使用 稽核串流功能,將事件下游傳送至安全性資訊和事件管理 (SIEM) 工具。 建議匯出稽核記錄以進行數據指標數據分析。
若要依日期/時間範圍篩選數據,建議您下載記錄作為 CSV 檔案,並匯入 Microsoft Excel 或其他 CSV 剖析器,以篩選 [區域] 和 [類別] 資料行。 如需更大型數據集的分析,建議您使用 稽核串流函式,將導出的稽核事件上傳至安全性事件和事件管理 (SIEM) 工具。 這類工具可讓您根據稽核事件保留超過90天的事件、搜尋、產生的報告,以及設定警示。
限制
下列限制適用於可稽核的內容。
- Microsoft Entra 群組成員資格變更 – 稽核記錄包含 Azure DevOps 群組和群組成員資格的更新(當事件區域為「群組」時)。 不過,如果您透過 Microsoft Entra 群組管理成員資格,這些記錄中的 Azure DevOps 不會稽核這些 Microsoft Entra 群組中的使用者新增和移除。 檢閱 Microsoft Entra 稽核記錄,以查看使用者或群組何時從 Microsoft Entra 群組新增或移除。
- 登入事件 – 我們不會追蹤 Azure DevOps 的登入事件。 檢視 Microsoft Entra 稽核記錄,以檢閱登入事件到您的 Microsoft Entra 標識符。
常見問題集
問:什麼是 DirectoryServiceAddMember 群組,以及它為何出現在稽核記錄檔上?
答:DirectoryServiceAddMember 群組是用來協助管理 Azure DevOps 組織成員資格的系統群組。 此系統群組的成員資格可能會受到許多系統、用戶和系統管理動作的影響。 由於此群組是僅用於內部程式的系統群組,客戶可以忽略擷取此群組成員資格變更的稽核記錄專案。
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應