Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen
Azure DevOps Services
Hinweis
Die Überwachung befindet sich noch in der öffentlichen Vorschau.
Auf der Seite Überwachung Ihrer Organisationseinstellungen können Sie auf Überwachungsprotokolle zugreifen, sie exportieren und filtern, die die vielen Änderungen nachverfolgen, die in Ihren Azure DevOps-organization auftreten. Mit diesen Protokollen können Sie sie verwenden, um die Compliance- und Governanceziele Ihrer organization zu erreichen.
Wichtig
Die Überwachung ist nur für Organisationen mit Microsoft Entra ID verfügbar. Weitere Informationen finden Sie unter Verknüpfen Ihrer Organisation mit Microsoft Entra ID.
Überwachungsänderungen treten immer dann auf, wenn eine Benutzer- oder Dienstidentität innerhalb des organization den Status eines Artefakts bearbeitet. Möglicherweise werden Ereignisse für die folgenden Ereignisse protokolliert:
- Berechtigungsänderungen
- Gelöschte Ressourcen
- Branch-Richtlinienänderungen
- Überwachen von Protokollzugriff und -downloads
- und vieles mehr...
Ereignisse werden 90 Tage lang gespeichert. Anschließend werden sie gelöscht. Sie können Überwachungsereignisse jedoch an einem externen Speicherort sichern, um die Daten länger als 90 Tage aufzubewahren.
Auf Überwachungsereignisse kann über zwei Methoden auf der Seite Überwachung in Den Organisationseinstellungen zugegriffen werden:
- Über die Überwachungsprotokolle, die auf der Registerkarte Standard-Protokolle verfügbar sind, und
- über alle Überwachungsstreams, die über die Registerkarte Streams eingerichtet werden.
Hinweis
Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Es ist möglich, einen Überwachungsdatenstrom von einem Azure DevOps Services instance mit einer lokalen oder cloudbasierten instance von Splunk zu verbinden. Sie müssen jedoch sicherstellen, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Weitere Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.
Voraussetzungen
Die Überwachung ist standardmäßig für alle Azure DevOps Services Organisationen deaktiviert und kann von organization Besitzern und Projektsammlungsadministratoren auf der Seite Organisationseinstellungenein- und ausgeschaltet werden. Standardmäßig sind Projektsammlungsadministratoren die einzige Gruppe, die Vollzugriff auf das Überwachungsfeature hat.
Überwachungsberechtigungen
- Standardmäßig haben Mitglieder der Gruppen organization Besitzer und Projektsammlungsadministratoren Vollzugriff auf alle Überwachungsfeatures.
- Bestimmte Überwachungsberechtigungen können jeder Gruppe über die Seite Sicherheitsberechtigungen in den Organisationseinstellungen erteilt werden.
Hinweis
Wenn die Vorschaufunktion Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken für die organization aktiviert ist, können Benutzer, die der Gruppe "Projektbezogene Benutzer" hinzugefügt wurden, die Überwachung nicht anzeigen und verfügen über eingeschränkte Sichtbarkeit auf Organisationseinstellungsseiten. Weitere Informationen und wichtige sicherheitsbezogene Erwähnungen finden Sie unter Verwalten Ihrer organization, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Aktivieren und Deaktivieren der Überwachung
Melden Sie sich bei Ihrer Organisation an (
https://dev.azure.com/{yourorganization}).Wählen Sie
Organisationseinstellungen aus.Wählen Sie unter dem Header Sicherheit die Option Richtlinien aus.
Schalten Sie die Schaltfläche Protokollüberwachungsereignisse ein.
Für die organization ist jetzt die Überwachung aktiviert. Möglicherweise müssen Sie die Seite aktualisieren, damit überwachung in der Randleiste angezeigt wird. Überwachungsereignisse werden in Überwachungsprotokollen und über alle konfigurierten Überwachungsdatenströme angezeigt.
- Wenn Sie keine Überwachungsereignisse mehr erhalten möchten, schalten Sie die Schaltfläche Überwachung aktivieren auf AUS. Wenn die Schaltfläche deaktiviert ist, wird die Seite Überwachung nicht mehr in der Randleiste angezeigt, und die Seite Überwachungsprotokolle ist nicht verfügbar. Alle Überwachungsdatenströme empfangen keine Ereignisse mehr.
Zugriffsüberwachung
Melden Sie sich bei Ihrer Organisation an (
https://dev.azure.com/{yourorganization}).Wählen Sie
Organisationseinstellungen aus.
Wählen Sie Überwachung aus.
Wenn Überwachung in den Organisationseinstellungen nicht angezeigt wird, haben Sie keinen Zugriff zum Anzeigen von Überwachungsereignissen. Die Gruppe "Projektsammlungsadministratoren" kann anderen Benutzern und Gruppen Berechtigungen erteilen, damit sie die Überwachungsseiten anzeigen können. Wählen Sie hierzu Berechtigungen aus, und suchen Sie dann nach der Gruppe oder den Benutzern, auf die Bzw. die Überwachungszugriff gewährt werden soll.
Legen Sie Überwachungsprotokoll anzeigen auf zulassen fest, und wählen Sie dann Änderungen speichern aus.
Die Benutzer- oder Gruppenmitglieder haben nun Zugriff, um die Überwachungsereignisse Ihrer organization anzuzeigen.
Überprüfen des Überwachungsprotokolls
Die Seite Überwachung bietet einen einfachen Überblick über die Überwachungsereignisse, die für Ihre organization aufgezeichnet wurden. Sehen Sie sich die folgende Beschreibung der Informationen an, die auf der Überwachungsseite angezeigt werden:
Überwachungsereignisinformationen und -details
| Information | Details |
|---|---|
| Akteur | Anzeigename der Person, die das Überwachungsereignis ausgelöst hat. |
| IP | IP-Adresse der Person, die das Überwachungsereignis ausgelöst hat. |
| Timestamp | Zeitpunkt, zu dem das ausgelöste Ereignis aufgetreten ist. Die Zeit wird Ihrer Zeitzone angepasst. |
| Bereich | Produktbereich in Azure DevOps, in dem das Ereignis aufgetreten ist. |
| Category | Beschreibung des Typs der Aktion, die aufgetreten ist (z. B. Ändern, Umbenennen, Erstellen, Löschen, Entfernen, Ausführen und Zugriffsereignis). |
| Details | Kurze Beschreibung der Vorgänge während des Ereignisses. |
Jedes Überwachungsereignis zeichnet auch zusätzliche Informationen auf, die auf der Überwachungsseite zu sehen sind. Diese Informationen umfassen den Authentifizierungsmechanismus, eine Korrelations-ID zum Verknüpfen ähnlicher Ereignisse, den Benutzer-Agent und weitere Daten je nach Überwachungsereignistyp. Diese Informationen können nur durch den Export der Überwachungsereignisse über CSV oder JSON angezeigt werden.
ID & Korrelations-ID
Jedes Überwachungsereignis verfügt über eindeutige Bezeichner, die als "ID" und "CorrelationID" bezeichnet werden. Die Korrelations-ID ist hilfreich, um verwandte Überwachungsereignisse zu finden. Beispielsweise kann ein erstelltes Projekt mehrere Dutzend Überwachungsereignisse generieren. Sie können diese Ereignisse miteinander verknüpfen, da sie alle über die gleiche Korrelations-ID verfügen.
Wenn eine Überwachungsereignis-ID mit ihrer Korrelations-ID übereinstimmt, gibt sie an, dass das Überwachungsereignis das übergeordnete oder ursprüngliche Ereignis ist. Um nur Ursprungsereignisse anzuzeigen, suchen Sie nach den Ereignissen, bei denen "ID" der betreffenden "Korrelations-ID" entspricht. Wenn Sie dann ein Ereignis und die zugehörigen Ereignisse untersuchen möchten, können Sie alle Ereignisse mit einer Korrelations-ID suchen, die der ID des Ursprungsereignisses entspricht. Nicht alle Ereignisse weisen verwandte Ereignisse auf.
Massenereignisse
Einige Überwachungsereignisse können mehrere Gleichzeitige Aktionen enthalten, die auch als "Massenüberwachungsereignisse" bezeichnet werden. Sie können diese Ereignisse von anderen mit einem "Informationssymbol" ganz rechts vom Ereignis unterscheiden. Sie finden einzelne Details zu den Aktionen, die in den Massenüberwachungsereignissen enthalten sind, über die heruntergeladenen Überwachungsdaten.
Wenn Sie das Informationssymbol auswählen, werden zusätzliche Informationen darüber angezeigt, was in diesem Überwachungsereignis passiert ist.
Wenn Sie die Überwachungsereignisse durchsehen, finden Sie möglicherweise die relevanten Spalten Kategorie und Bereich . Mit diesen Spalten können Sie sichten, um nur die Typen von Ereignissen zu finden, an denen Sie interessiert sind. Die folgenden Tabellen enthalten eine Liste der Kategorien und Bereiche sowie deren Beschreibungen:
Liste der Ereignisse
Wir versuchen, jeden Monat neue Überwachungsereignisse hinzuzufügen. Wenn Sie ein Ereignis sehen möchten, das derzeit nicht nachverfolgt wird, sollten Sie dies im Entwicklercommunity mit uns teilen.
Eine vollständige Liste aller Ereignisse, die derzeit über das Überwachungsfeature ausgegeben werden können, finden Sie unter Überwachungsereignisseliste.
Hinweis
Möchten Sie herausfinden, in welchen Ereignisbereichen Ihre organization protokolle? Überprüfen Sie unbedingt die Überwachungsprotokollabfrage-API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, und ersetzen Sie {YOUR_ORGANIZATION} durch den Namen Ihrer organization. Diese API gibt eine Liste aller Überwachungsereignisse (oder Aktionen) zurück, die ihre organization ausgeben können.
Filtern des Überwachungsprotokolls nach Datum und Uhrzeit
Auf der aktuellen Überwachungsbenutzeroberfläche können Sie Ereignisse nur nach einem Datums- oder Zeitbereich filtern. Wählen Sie den Zeitfilter oben rechts auf der Seite aus, um die sichtbaren Überwachungsereignisse nach einem Datumsbereich einzugrenzen.
Verwenden Sie die Filter, um einen beliebigen Zeitbereich für die letzten 90 Tage auszuwählen und ihn auf die Minute festzulegen. Nachdem Sie einen Zeitbereich ausgewählt haben, wählen Sie übernehmen in der Zeitbereichsauswahl aus, um die Suche zu starten. Standardmäßig werden die ersten 200 Ergebnisse für diese Zeitauswahl zurückgegeben. Wenn weitere Ergebnisse vorliegen, können Sie nach unten scrollen, um sie auf die Seite zu laden.
Exportieren von Überwachungsereignissen
Um eine detailliertere Suche nach den Überwachungsdaten durchzuführen oder Daten für mehr als 90 Tage zu speichern, müssen Sie vorhandene Überwachungsereignisse exportieren. Die exportierten Daten können dann an einem anderen Speicherort oder Dienst gespeichert werden.
Wählen Sie oben rechts auf der Überwachungsseite die Schaltfläche Herunterladen aus, um Überwachungsereignisse zu exportieren. Sie können als CSV- oder JSON-Datei herunterladen.
Wenn Sie eine der beiden Optionen auswählen, wird der Download gestartet. Ereignisse werden basierend auf dem zeitraum heruntergeladen, den Sie im Filter ausgewählt haben. Wenn Sie einen Tag ausgewählt haben, werden die Daten für einen Tag zurückgegeben. Wenn Sie alle 90 Tage transverse, wählen Sie 90 Tage aus dem Zeitbereichsfilter aus, und starten Sie dann den Download.
Hinweis
Für die langfristige Speicherung und Analyse Ihrer Überwachungsereignisse sollten Sie Erwägen, Ihre Ereignisse mithilfe des Überwachungsstreamings an ein SIEM-Tool (Security Information and Event Management) zu senden. Das Exportieren der Überwachungsprotokolle wird für die Cursordatenanalyse empfohlen.
Um Daten nach mehr als dem Datums-/Uhrzeitbereich zu filtern, empfehlen wir, Protokolle als CSV-Dateien herunterzuladen und Microsoft Excel oder andere CSV-Parser zu importieren, um die Spalten Bereich und Kategorie zu durchsuchen. Für die Analyse noch größerer Datasets wird empfohlen, exportierte Überwachungsereignisse mithilfe der Überwachungsstreamingfunktion in ein SIEM-Tool (Security Incident and Event Management) hochzuladen. Mit solchen Tools können Sie mehr als 90 Tage an Ereignissen, Suchvorgängen, generierten Berichten und konfigurierten Warnungen basierend auf Überwachungsereignissen aufbewahren.
Einschränkungen
Die folgenden Einschränkungen gelten für das, was überwacht werden kann.
- Änderungen der Microsoft Entra-Gruppenmitgliedschaft – Überwachungsprotokolle umfassen Updates für Azure DevOps-Gruppen und Gruppenmitgliedschaften (wenn ein Ereignisbereich "Gruppen" ist). Wenn Sie jedoch die Mitgliedschaft über Microsoft Entra-Gruppen verwalten, werden diese Ergänzungen und Entfernungen von Benutzern aus diesen Microsoft Entra-Gruppen nicht von Azure DevOps in diesen Protokollen überwacht. Überprüfen Sie die Microsoft Entra-Überwachungsprotokolle, um festzustellen, wann ein Benutzer oder eine Gruppe aus einer Microsoft Entra-Gruppe hinzugefügt oder daraus entfernt wurde.
- Anmeldeereignisse: Wir verfolgen keine Anmeldeereignisse für Azure DevOps. Zeigen Sie die Microsoft Entra-Überwachungsprotokolle an, um Anmeldeereignisse bei Ihrer Microsoft Entra-ID zu überprüfen.
Häufig gestellte Fragen
F: Was ist die Gruppe DirectoryServiceAddMember, und warum wird sie im Überwachungsprotokoll angezeigt?
A: Die DirectoryServiceAddMember-Gruppe ist eine Systemgruppe, die zum Verwalten der Mitgliedschaft in Ihrem Azure DevOps-organization verwendet wird. Die Mitgliedschaft in dieser Systemgruppe kann durch viele System-, Benutzer- und Verwaltungsaktionen beeinflusst werden. Da es sich bei dieser Gruppe um eine Systemgruppe handelt, die nur für interne Prozesse verwendet wird, können Kunden Überwachungsprotokolleinträge ignorieren, die Mitgliedschaftsänderungen in dieser Gruppe erfassen.
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für