Zugreifen auf, exportieren und Filtern von Überwachungsprotokollen

Azure DevOps Services

Sie können auf Überwachungs Protokolle zugreifen, Sie exportieren und filtern. Überwachungs Protokolle enthalten viele Änderungen, die in einer Azure devops-Organisation auftreten. Änderungen treten auf, wenn eine Benutzer-oder Dienst Identität innerhalb der Organisation den Zustand eines Artefakts bearbeitet.

Überwachungs Ereignisse können folgende vorkommen aufweisen:

  • Berechtigungs Änderungen
  • gelöschte Ressourcen
  • Verzweigungs Richtlinien Änderungen
  • Zugreifen auf die Überwachungsfunktion
  • und vieles mehr

Hinweis

Die Überwachung befindet sich derzeit in einer Public Preview für Azure DevOps Services. Die Überwachung ist für lokale bereit Stellungen nicht verfügbar. Damit eine Verbindung mit einem lokalen oder cloudbasierten Splunk hergestellt werden kann, müssen IP-Adressbereiche für eingehende Verbindungen zugelassen werden. Weitere Informationen finden Sie unter zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichs Einschränkungen.

Die Überwachung ist standardmäßig für alle Azure DevOps Services Organisationen aktiviert. Sie können die Überwachung nicht deaktivieren, wodurch sichergestellt wird, dass Sie ein Ereignis, das Sie nicht verpassen, nie übersehen Ereignisse werden 90 Tage lang gespeichert und dann gelöscht. Allerdings können Sie Überwachungs Ereignisse an einem externen Speicherort sichern, damit die Daten länger als der Zeitraum von 90 Tagen aufbewahrt werden.

Voraussetzungen

Standardmäßig sind Projekt Sammlungs Administratoren die einzige Gruppe, die uneingeschränkten Zugriff auf die Überwachungsfunktion hat.

Überwachungs Berechtigungen

  • Mitglieder der Gruppe Projekt Auflistungs Administratoren haben vollen Zugriff auf alle Überwachungs Features.
  • Mitglieder der Gruppe " gültige Benutzer" der Projekt Sammlung können die Überwachungsseite anzeigen und Überwachungs Protokolle exportieren.

Hinweis

Wenn das Feature " Benutzer Sichtbarkeit für Projekte einschränken " für die Organisation aktiviert ist, können Benutzer, die der Gruppe " Projektbereich-Benutzer " hinzugefügt wurden, die Überwachung nicht anzeigen und haben nur eingeschränkte Einblicke in die Einstellungsseiten der Organisation . Weitere Informationen finden Sie unter Informationen zu Projekten und Skalieren Ihrer Organisation, projektbezogene Benutzergruppe.

Zugriffs Überwachung

Hinweis

Informationen zum Aktivieren der neuen Benutzeroberfläche für die Einstellungsseite "Organisations Berechtigungen" finden Sie unter Aktivieren von Vorschau Features.

  1. Melden Sie sich bei Ihrer Organisation an ( https://dev.azure.com/{yourorganization} ).

  2. Wählen Sie  Zahnrad Symbol Organisations Einstellungen aus.

    Organisations Einstellungen öffnen

  3. Wählen Sie Überwachung aus.

    Überwachungs Vorschau Seite Wenn Sie die Überwachung nicht in den Organisations Einstellungen sehen, haben Sie keinen Zugriff zum Anzeigen von Überwachungs Ereignissen. Außerhalb der Gruppe "Projekt Auflistungs Administratoren" können Sie anderen Benutzern und Gruppenberechtigungen zur Verfügung stellen, damit Sie die Überwachung anzeigen können.

  4. Wählen Sie Berechtigungen aus, und suchen Sie dann die Gruppe oder die Benutzer, für die Sie den Überwachungs Zugriff bereitstellen

    Screenshot der markierten Registerkarte "Berechtigungen".

  5. Legen Sie Überwachungs Protokoll anzeigen auf zulassen fest, und wählen Sie dann Änderungen speichern aus. Screenshot der Überwachung der Zugriffs Berechtigungs Vorschau.

Die Benutzer oder Gruppenmitglieder haben Zugriff zum Anzeigen von Überwachungs Ereignissen Ihrer Organisation.

Überprüfen des Überwachungs Protokolls

Die Seite Überwachung bietet eine einfache Ansicht der Überwachungs Ereignisse, die für Ihre Organisation aufgezeichnet wurden. Sie können nur nach Zeitbereich suchen, um Überwachungs Ereignisse zu suchen, die innerhalb der letzten 90 Tage aufgetreten sind.

Sehen Sie sich die folgende Beschreibung der Informationen an, die auf der Seite Überwachung sichtbar sind.

Überwachungs Ereignis Informationen und-Details

Information Details
Akteur Anzeige Name der Person, die das Überwachungs Ereignis ausgelöst hat.
IP Die IP-Adresse der Person, die das Überwachungs Ereignis ausgelöst hat.
Timestamp Uhrzeit, zu der das ausgelöste Ereignis aufgetreten ist. Die Zeit wird in Ihrer Zeitzone lokalisiert.
Bereich Speicherort in Azure devops, an dem das Ereignis aufgetreten ist.
Category Die Beschreibung des aufgetretenen Aktions Typs. Beispielsweise ändern, umbenennen, erstellen, löschen, entfernen, ausführen und zugreifen.
Details Kurze Beschreibung der Vorgänge, die während des Ereignisses aufgetreten sind.

Jedes Audit-Ereignis zeichnet zusätzliche Informationen auf, die auf der Seite Überwachung angezeigt werden können. Zu diesen Informationen gehören der Authentifizierungsmechanismus, eine Korrelations-ID zum Verknüpfen ähnlicher Ereignisse, Benutzer-Agent und zusätzliche Informationen, die vom Typ des Überwachungs Ereignisses abhängig sind. Diese Informationen können nur durch Herunterladen von Überwachungs Ereignissen angezeigt werden.

Wenn Sie die sichtbaren Überwachungs Ereignisse auf einen Bereich herabsetzen möchten, wählen Sie den Zeitfilter oben rechts auf der Seite aus.

Überwachungs Eintrag nach Datum & Uhrzeit Filtern

Sie können einen beliebigen Zeitbereich in den letzten 90 Tagen auswählen und den Bereich auf die Minute festlegen. Nachdem Sie einen Zeitbereich ausgewählt haben, wählen Sie eine beliebige Stelle außerhalb der Zeit Bereichsauswahl aus, um die Suche zu starten. Standardmäßig werden die ersten 200-Ergebnisse für diese Zeitauswahl zurückgegeben. Wenn weitere Ergebnisse vorhanden sind, können Sie einen Bildlauf nach unten durchführen, um Sie auf die Seite zu laden. Wenn Sie den zurückgegebenen Resultset weiter erweitern möchten, müssen Sie die Überwachungsdaten herunterladen.

Einige Überwachungs Ereignisse können mehrere Aktionen enthalten, die gleichzeitig stattfinden, die als Massen Überwachungs Ereignisse bezeichnet werden. Sie können diese Ereignisse von anderen Personen mit Informationen ganz rechts vom Ereignis unterscheiden.

Symbol "Weitere Informationen überwachen"

Wenn Sie das Informationssymbol auswählen, werden zusätzliche Informationen zu den Ereignissen in diesem Überwachungs Ereignis angezeigt.

Exportieren von Überwachungs Ereignissen

Wenn Sie die Überwachungsdaten genauer durchsuchen oder mehr als 90 Tage Daten speichern möchten, müssen Sie vorhandene Überwachungs Ereignisse exportieren. Die exportierten Daten können dann an einem anderen Speicherort oder in einem anderen Dienst gespeichert werden.

Wählen Sie oben rechts auf der Seite Überwachung die Schaltfläche herunterladen aus, um Überwachungs Ereignisse zu exportieren. Sie können auswählen, dass Sie als CSV-oder JSON-Datei heruntergeladen werden.

Wenn Sie eine der Optionen auswählen, wird der Download gestartet. Ereignisse werden basierend auf dem Zeitraum heruntergeladen, den Sie im Filter ausgewählt haben. Wenn Sie einen Tag ausgewählt haben, erhalten Sie die Daten eines Tages. Wenn Sie alle 90 Tage wünschen, wählen Sie im Filter Zeitbereich die Option 90 Tage aus, und starten Sie dann den Download.

Überwachungs Protokoll filtern

Sie können Überwachungs Ereignisse nach Zeitbereich in Azure devops durchsuchen. Bei anderen, ausführlicheren Such Typen sind nach dem Exportieren der Überwachungs Ereignisdaten andere Tools erforderlich.

Es wird empfohlen, die Protokolle als CSV-Dateien für schnelle Untersuchungen herunterzuladen. Anschließend können Sie Microsoft Excel oder andere CSV-Parser verwenden, um schnell nach den Bereichs-und Kategoriespalten zu filtern. In langfristigen Untersuchungen empfiehlt es sich, die exportierten Überwachungs Ereignisse in einem Siem-Tool (Security Incident and Event Management) zu platzieren. Das Tool ermöglicht es Ihnen, mehr als 90 Tage an Ereignissen, suchen, generierten Berichten und konfigurierten Warnungen auf der Grundlage von Überwachungs Ereignissen beizubehalten.

Wenn Sie Überwachungs Ereignisse filtern, empfiehlt es sich, die Bereichs -und Kategoriespalten zu verwenden. Diese Spalten ermöglichen es Ihnen, schnell auf die Typen von Ereignissen zu filtern, an denen Sie interessiert sind. Die folgenden Tabellen enthalten eine Liste der Bereiche und Kategorien sowie deren Beschreibungen.

Kategorien

Category Beschreibung
Ändern Ein geändertes Element, bei dem es sich um eine Status-oder Eigenschafts Änderung in einer Organisation handeln könnte.
Umbenennen Der Name des Artefakts wurde in einer Organisation geändert.
Erstellen Neu erstellte Artefakte in einer Organisation.
Löschen Löschen oder Entfernen von Artefakten aus einer Organisation.
Access Anzeigen oder Öffnen von Artefakten in einer Organisation.

Bereiche

Hinweis

Während die Überwachung in einer öffentlichen Vorschau Phase ist, arbeiten wir hart daran, mehr Bereiche zu überwachen. Wir fügen monatlich neue Überwachungs Ereignisse hinzu.

Wenn Sie das Überwachungs Ereignis, das Sie in der folgenden Tabelle suchen, nicht finden können, stellen Sie sicher, dass Sie die Rest-API überprüfen: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions . Ersetzen Sie {YOUR_ORGANIZATION} durch den Namen Ihrer Organisation. Die API zeigt eine Liste aller Überwachungs Ereignisse an, die Ihre Organisation ausgeben könnte.

Bereich BESCHREIBUNG
Berechtigungen Nachverfolgen von Berechtigungs Änderungen, die in einer Azure devops-Organisation an Gruppen und Benutzern vorgenommen wurden.
Project Erstellen, löschen, Ändern der Sichtbarkeit, aktualisieren und Umbenennen eines Projekts in einer Organisation. Erstellen Sie Bereichs Pfad, Update Bereichs Pfad und Lösch Bereichs Pfad.
Audit Anzeigen oder Herunterladen des Überwachungs Protokolls.
Erweiterungen Installieren, entfernen, aktivieren/deaktivieren und Aktualisieren von Erweiterungen.
Lizenzierung Zuweisen, ändern und Entfernen von Lizenzen. Erstellen, ändern und Löschen von Gruppen Lizenzierungs Regeln.
Prozess Prozess (Agile) erstellen, löschen und ändern.
Pipelines Erstellen, löschen und Aktualisieren von Pipelines (Designer-UX-Pipelines nur zu diesem Zeitpunkt)
Policy Erstellen, löschen und Aktualisieren von Richtlinien für ein git-Repository.
Git Erstellen, löschen, ändern, umgehen Sie die PR-Richtlinie, und löschen Sie das git-Repository.
Gruppieren Ändern, aktualisieren, löschen, erstellen und Umbenennen der Gruppenmitgliedschaft.
Release Erstellung, Löschung, Änderung, Genehmigung wurde beendet, und die Bereitstellung wurde für ein Release fertiggestellt.
Organizationpolicy Änderungen an den Organisations Richtlinien (z. b. keine Standard Authentifizierung).
Organization Umbenennen, Besitzer ändern, mit Azure Active Directory verknüpfen (Azure AD) und Verknüpfung von Azure AD aufheben.
Sicherheit Ändern Sie die Sicherheits Berechtigungen, Gruppe erstellen, Gruppe löschen, Gruppe aktualisieren, Mitglied zu Gruppe hinzufügen und Mitglied aus Gruppe entfernen.
Agilität Verarbeiten, erstellen, löschen und ändern.
Benachrichtigung Erstellen, entfernen und Ändern eines Abonnements.
Git Verzweigungs Richtlinien und Repository erstellen, löschen und umbenennen.
Abrechnung Hinzufügen, ändern und Entfernen eines Azure-Abonnements für die Abrechnung, Änderungen an Abrechnungs Mengen (Pipelines, Artefakte und Cloud-Auslastungs Tests)
Benutzer Anmelde Ereignisse oder Access-Ereignisse von Pat und SSH
Token/Authentifizierung Erstellen, aktualisieren und entfernen oder widerrufen Sie persönliche Zugriffs Token (Pats) oder SSH-Schlüssel.

Filtertipps

Wenn Sie eine Kopie ihrer Überwachungs Ereignisse heruntergeladen haben, können Sie die zusätzlichen Informationen für jedes Ereignis anzeigen. In den folgenden nützlichen Tipps finden Sie Informationen zum Filtern von Ereignissen, die über die Verwendung der Felder Kategorien und Bereiche hinausgehen.

ID & Korrelations-ID

Jedes Überwachungs Ereignis verfügt über eindeutige Bezeichner, die als "ID" und "CorrelationId" bezeichnet werden. Die Korrelations-ID eignet sich für die Suche nach verwandten Überwachungs Ereignissen. Beispielsweise kann ein erstelltes Projekt mehrere Dutzend Überwachungs Ereignisse generieren. Diese Ereignisse können miteinander verknüpft werden, da Sie alle die gleiche Korrelations-ID aufweisen.

Wenn eine Überwachungs Ereignis-ID mit der Korrelations-ID übereinstimmt, weist dies darauf hin, dass das Überwachungs Ereignis das übergeordnete oder ursprüngliche Ereignis ist. Daher hat das anfängliche Ereignis, das anzeigt, dass ein Benutzer ein Projekt erstellt hat, dieselbe ID wie die Korrelations-ID. Um nur Ursprungs Ereignisse anzuzeigen, können Sie einen Filter festlegen, bei dem "ID" der "Korrelations-ID" entspricht. Wenn Sie dann ein Ereignis finden, das Sie untersuchen möchten, können Sie nur nach Ereignissen mit dieser Korrelations-ID suchen. Nicht alle Ereignisse haben andere verwandte Ereignisse.

Einschränkungen

Die folgenden Einschränkungen gelten für die zu überwachenden.

  • Azure AD Änderungen an der Gruppenmitgliedschaft – in der Zukunft umfasst die Überwachung Änderungen an Azure devops-Gruppen, z. b. das Hinzufügen oder Entfernen einer Gruppe oder eines Benutzers. Wenn Sie jedoch die Mitgliedschaft über Azure Ad Gruppen verwalten, werden Ergänzungen und Entfernungen von Benutzern aus diesen Azure Ad Gruppen nicht von Azure devops überwacht. Überprüfen Sie die Azure AD Überwachungs Protokolle, um festzustellen, wann ein Benutzer oder eine Gruppe einer Azure Ad Gruppe hinzugefügt oder daraus entfernt wurde.
  • Anmelden – wir verfolgen keine Anmelde Ereignisse für Azure devops nach. Sehen Sie sich die Azure AD Überwachungs Protokolle an, um die Anmelde Ereignisse für Ihre Azure AD zu überprüfen.