Acceso, exportación y filtrado de registros de auditoría
Azure DevOps Services
Nota:
La auditoría sigue en versión preliminar pública.
En la página Auditoría de la configuración de la organización, puede acceder, exportar y filtrar los registros de auditoría, que realizan un seguimiento de los muchos cambios que se producen en las organizaciones de Azure DevOps. Con estos registros, puede usarlos para cumplir los objetivos de cumplimiento y gobernanza de su organización.
Importante
La auditoría solo está disponible para las organizaciones respaldadas por Microsoft Entra ID. Para obtener más información, consulte Conexión de la organización a Microsoft Entra ID.
Los cambios de auditoría se producen cada vez que una identidad de usuario o servicio dentro de la organización edita el estado de un artefacto. Es posible que vea los eventos registrados para cualquiera de las siguientes apariciones:
- cambios de permisos
- recursos eliminados
- cambios en la directiva de rama
- auditoría de acceso y descargas del registro
- y mucho más...
Los eventos se almacenan durante 90 días y, después, se eliminan. Aun así, puede realizar copias de seguridad de eventos de auditoría en una ubicación externa para guardar los datos durante más tiempo.
Se puede acceder a los eventos de auditoría a través de dos métodos en la página Auditoría de la configuración de la organización:
- A través de los registros de auditoría disponibles en la pestaña Registros principales, y
- a través de cualquier flujo de auditoría configurado a través de la pestaña Secuencias .
Nota
La auditoría no está disponible para implementaciones locales de Azure DevOps Server. Es posible conectar una secuencia de auditoría desde una instancia de Azure DevOps Services a una instancia local o basada en la nube de Splunk, pero debe asegurarse de permitir intervalos IP para las conexiones entrantes. Para más información, consulte Listas de direcciones permitidas y conexiones de red, direcciones IP y restricciones de intervalo.
Requisitos previos
La auditoría está desactivada de forma predeterminada para todas las organizaciones de Azure DevOps Services y se puede activar y desactivar mediante propietarios de la organización y administradores de recopilación de proyectos en la página Configuración de la organización. De forma predeterminada, los administradores de colecciones de proyectos son el único grupo que tiene acceso total a la característica auditoría.
Permisos de auditoría
- De forma predeterminada, los miembros de los grupos Propietarios de la organización y Administradores de colecciones de proyectos tienen acceso total a todas las características de auditoría.
- Se pueden conceder permisos de auditoría específicos a cualquier grupo a través de la página Permisos de seguridad en Configuración de la organización.
Nota
Si la característica Limitar visibilidad y colaboración del usuario a proyectos específicos está habilitada para la organización, los usuarios agregados al grupo Usuarios con ámbito de proyecto no pueden ver la auditoría y tener visibilidad limitada a las páginas de configuración de la organización. Para obtener más información y menciones importantes relacionadas con la seguridad, consulte Administrar su organización, Limitar la visibilidad del usuario para proyectos y mucho más.
Habilitar y deshabilitar la auditoría
Inicie sesión en una organización (
https://dev.azure.com/{yourorganization}).Seleccione
Configuración de la organización.Seleccione Directivas en el encabezado Seguridad .
Active el botón Registrar eventos de auditoría .
La organización ahora tendrá habilitada la auditoría. Es posible que tenga que actualizar la página para ver que la auditoría aparece en la barra lateral. Los eventos de auditoría comenzarán a aparecer en los registros de auditoría y a través de cualquier flujo de auditoría que se haya configurado.
- Si ya no desea recibir eventos de auditoría, cambie el botón Habilitar auditoría a DESACTIVADO. Cuando el botón está desactivado, la página Auditoría ya no aparecerá en la barra lateral y la página Registros de auditoría no estará disponible. Cualquier flujo de auditoría dejará de recibir eventos.
Auditoría de acceso
Inicie sesión en una organización (
https://dev.azure.com/{yourorganization}).Seleccione
Configuración de la organización.
Seleccione Auditoría.
Si no ve auditoría en la configuración de la organización, no tiene acceso para ver los eventos de auditoría. El grupo Administradores de colecciones de proyectos puede conceder permisos a otros usuarios y grupos para que puedan ver las páginas de auditoría. Para ello, seleccione Permisos y busque el grupo o los usuarios a los que proporcionar acceso de auditoría.
Establezca Ver registro de auditoría para permitir y, a continuación, seleccione Guardar cambios.
Los miembros del usuario o del grupo ahora tendrán acceso para ver los eventos de auditoría de su organización.
Revisión de los registros de auditoría
La página Auditoría proporciona una vista sencilla de los eventos de auditoría registrados para su organización. Consulte la siguiente descripción de la información que está visible en la página de auditoría:
Información y detalles de eventos de auditoría
| Información | Detalles |
|---|---|
| Actor | Nombre para mostrar de la persona que desencadenó el evento de auditoría. |
| IP | Dirección IP de la persona que desencadenó el evento de auditoría. |
| Timestamp | Hora en que se produjo el evento desencadenado. La hora se localiza en su zona horaria. |
| Área | Área del producto en Azure DevOps donde se produjo el evento. |
| Category | Descripción del tipo de acción que se produjo (por ejemplo, modificar, cambiar el nombre, crear, eliminar, quitar, ejecutar y obtener acceso al evento). |
| Detalles | Breve descripción de lo que sucedió durante el evento. |
Cada evento de auditoría también registra información adicional sobre lo que se puede ver en la página de auditoría. Esta información incluye el mecanismo de autenticación, un identificador de correlación para vincular eventos similares juntos, agente de usuario y más datos en función del tipo de evento de auditoría. Esta información solo se puede ver exportando los eventos de auditoría a través de CSV o JSON.
Id. y id. de correlación
Cada evento de auditoría tiene identificadores únicos denominados "ID" y "CorrelationID". El identificador de correlación es útil para encontrar eventos de auditoría relacionados. Por ejemplo, un proyecto creado puede generar varias docenas de eventos de auditoría. Puede vincular estos eventos juntos porque todos tienen el mismo identificador de correlación.
Cuando un identificador de evento de auditoría coincide con su identificador de correlación, indica que el evento de auditoría es el evento primario o original. Para ver solo los eventos de origen, busque los eventos en los que "ID" es igual al "Id. de correlación" en cuestión. Después, si desea investigar un evento y sus eventos relacionados, puede buscar todos los eventos con un identificador de correlación que coincida con el identificador del evento de origen. No todos los eventos tienen eventos relacionados.
Eventos masivos
Algunos eventos de auditoría pueden contener varias acciones que se realizaron a la vez, también conocidas como "eventos de auditoría masiva". Puede distinguir estos eventos de otros con un "icono de información" en el extremo derecho del evento. Puede encontrar detalles individuales sobre las acciones incluidas en los eventos de auditoría masiva a través de los datos de auditoría descargados.
Al seleccionar el icono de información se muestra información adicional sobre lo que sucedió en este evento de auditoría.
A medida que examine los eventos de auditoría, puede encontrar las columnas Categoría y Área de interés. Estas columnas le permiten examinar para encontrar solo los tipos de eventos que le interesen. Las tablas siguientes son una lista de categorías y áreas, y sus descripciones:
Lista de eventos
Intentamos agregar nuevos eventos de auditoría mensualmente. Si desea ver un evento que no se realiza actualmente, considere la posibilidad de compartirlo con nosotros en el Developer Community.
Para obtener una lista completa de todos los eventos que actualmente podemos emitir a través de la característica auditoría, consulte la lista de eventos de auditoría.
Nota:
¿Desea averiguar qué áreas de eventos registra su organización? Asegúrese de consultar la API de consulta de registro de auditoría: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, reemplazando {YOUR_ORGANIZATION} por el nombre de la organización. Esta API devuelve una lista de todos los eventos de auditoría (o acciones) que su organización podría emitir.
Filtrar el registro de auditoría por fecha y hora
En la interfaz de usuario de auditoría actual, solo puede filtrar los eventos por un intervalo de fecha o hora. Para limitar el ámbito de los eventos de auditoría visibles por un intervalo de fechas, seleccione el filtro de hora en la parte superior derecha de la página.
Use los filtros para seleccionar cualquier intervalo de tiempo durante los últimos 90 días y limitarlo hasta el minuto. Una vez que haya seleccionado un intervalo de tiempo, seleccione Aplicar en el selector de intervalo de tiempo para iniciar la búsqueda. De forma predeterminada, se devuelven los 200 resultados principales para esa selección de tiempo. Si hay más resultados, puede desplazarse hacia abajo para cargarlos en la página.
Exportación de eventos de auditoría
Para realizar una búsqueda más detallada en los datos de auditoría o almacenar datos durante más de 90 días de datos, deberá exportar los eventos de auditoría existentes. Los datos exportados se pueden almacenar en otra ubicación o servicio.
Seleccione el botón Descargar en la parte superior derecha de la página de auditoría para exportar eventos de auditoría. Puede seleccionar descargar como un archivo CSV o JSON.
Al seleccionar cualquiera de las dos opciones, se inicia la descarga. Los eventos se descargan en función del intervalo de tiempo seleccionado en el filtro. Si ha seleccionado un día, obtendrá un día de los datos devueltos. De forma inversa, si desea los 90 días, seleccione 90 días en el filtro de intervalo de tiempo y, a continuación, inicie la descarga.
Nota
Para el almacenamiento y el análisis a largo plazo de los eventos de auditoría, considere la posibilidad de enviar los eventos de bajada a una herramienta de administración de eventos e información de seguridad (SIEM) mediante la característica Audit Streaming. Se recomienda exportar los registros de auditoría para el análisis de datos cursores.
Para filtrar los datos por más que el intervalo de fecha y hora, se recomienda descargar registros como archivos CSV e importar Microsoft Excel u otros analizadores CSV para filtrar por columnas área y categoría. Para el análisis de conjuntos de datos aún más grandes, se recomienda cargar eventos de auditoría exportados en una herramienta de administración de eventos e incidentes de seguridad (SIEM) mediante la función Audit Streaming. Estas herramientas permiten mantener más de 90 días de eventos, búsquedas, informes generados y alertas configuradas basadas en eventos de auditoría.
Limitaciones
Existen las siguientes limitaciones para lo que se puede auditar.
- Cambios de pertenencia a grupos de Microsoft Entra: los registros de auditoría incluyen actualizaciones de grupos y pertenencia a grupos de Azure DevOps (cuando un área de eventos es "Grupos"). Sin embargo, si administra la pertenencia a través de grupos de Microsoft Entra, estas adiciones y eliminaciones de usuarios de esos grupos de Microsoft Entra no son auditadas por Azure DevOps en estos registros. Revise los registros de auditoría de Microsoft Entra para ver cuándo se ha agregado o quitado un usuario o grupo de Microsoft Entra.
- Eventos de inicio de sesión: no realizamos un seguimiento de los eventos de inicio de sesión de Azure DevOps. Vea los registros de auditoría de Microsoft Entra para revisar los eventos de inicio de sesión en el identificador de Microsoft Entra.
Preguntas más frecuentes
P: ¿Qué es el grupo DirectoryServiceAddMember y por qué aparece en el registro de auditoría?
R: El grupo DirectoryServiceAddMember es un grupo del sistema que se usa para ayudar a administrar la pertenencia a su organización de Azure DevOps. La pertenencia a este grupo del sistema puede verse afectada por muchas acciones administrativas, de usuario y del sistema. Dado que este grupo es un grupo del sistema que solo se usa para procesos internos, los clientes pueden ignorar las entradas del registro de auditoría que capturan los cambios de pertenencia a este grupo.
Artículos relacionados
Comentarios
Próximamente: a lo largo de 2024, eliminaremos gradualmente los problemas de GitHub como mecanismo de comentarios para el contenido y lo reemplazaremos por un nuevo sistema de comentarios. Para obtener más información, consulte: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de