Acceso, exportación y filtrado de registros de auditoría
Azure DevOps Services
En la página Auditoría de la configuración de la organización, puede acceder, exportar y filtrar los registros de auditoría, que realiza un seguimiento de los muchos cambios que se producen dentro de las Azure DevOps organización. Con estos registros, puede usarlos para cumplir los objetivos de cumplimiento y gobernanza de su organización.
Los cambios de auditoría se producen siempre que una identidad de usuario o servicio dentro de la organización edita el estado de un artefacto. Es posible que vea eventos registrados para cualquiera de las siguientes repeticiones:
- cambios de permisos
- recursos eliminados
- cambios en la directiva de rama
- auditar el acceso y las descargas de registros
- y mucho más...
Nota
La auditoría está actualmente en versión preliminar pública para Azure DevOps Services. La auditoría no está disponible para las implementaciones locales. Para conectar la auditoría a un Splunk local o basado en la nube, asegúrese de permitir intervalos IP para las conexiones entrantes. Para más información, consulte Listas de direcciones permitidas y conexiones de red, direcciones IP y restricciones de intervalo.
Durante la versión preliminar pública, la auditoría se desactivará de forma predeterminada para todas Azure DevOps Services organizaciones. No se puede desactivar la auditoría, lo que también garantiza que nunca se pierda un evento que pueda realizarse. Después de la versión preliminar pública, los administradores de recopilación Project pueden activar y desactivar la auditoría.
Los eventos se almacenan durante 90 días, después de los cuales se eliminan. Sin embargo, puede hacer una copia de seguridad de los eventos de auditoría en una ubicación externa para mantener los datos durante más tiempo que el período de 90 días.
Requisitos previos
De forma predeterminada, Project de recopilación son el único grupo que tiene acceso total a la característica de auditoría.
Permisos de auditoría
- Los miembros del grupo Project collection administrators tienen acceso total a todas las características de auditoría.
- Los miembros del grupo Project usuarios válidos de recopilación pueden ver la página Auditoría y exportar los registros de auditoría.
Nota
Si la característica de vista previa Limitar visibilidad de usuarios para proyectos está habilitada para la organización, los usuarios agregados al grupo Usuarios con ámbito de Project no podrán ver la auditoría y tener una visibilidad limitada de las páginas de configuración de la organización. Para obtener más información, consulte Acerca de los proyectos y el escalado de la organización, Projectde usuarios con ámbito de aplicación .
Auditoría de acceso
Nota
Para habilitar la nueva interfaz de usuario para la página de permisos de Configuración organización, consulte Habilitar características en versión preliminar.
Inicie sesión en su organización (
https://dev.azure.com/{yourorganization}).Seleccione el
Configuración de laorganización.
Seleccione Auditoría.
Si no ve Auditoría en la configuración de la organización, no tiene acceso para ver los eventos de auditoría. Fuera del grupo Project Collection Administrators (Administradores de recopilación de recursos), puede conceder permisos a otros usuarios y grupos para que puedan ver las páginas de auditoría. Seleccione Permisos y,a continuación, busque el grupo o los usuarios a los que proporcionar acceso de auditoría.
Establezca Ver registro de auditoría para permitiry, a continuación, seleccione Guardar cambios.
Los miembros del usuario o grupo ahora tendrán acceso para ver los eventos de auditoría de la organización.
Revisión del registro de auditoría
La página Auditoría proporciona una vista sencilla de los eventos de auditoría registrados para su organización. Vea la siguiente descripción de la información que está visible en la página de auditoría:
Información y detalles de los eventos de auditoría
| Información | Detalles |
|---|---|
| Actor | Nombre para mostrar del individuo que desencadenó el evento de auditoría. |
| IP | Dirección IP del individuo que desencadenó el evento de auditoría. |
| Timestamp | Hora a la que se produjo el evento desencadenado. La hora se localiza en la zona horaria. |
| Área | Área de producto en Azure DevOps donde se produjo el evento. |
| Categoría | Descripción del tipo de acción que se produjo (por ejemplo, modificar, cambiar el nombre, crear, eliminar, quitar, ejecutar y obtener acceso al evento). |
| Detalles | Breve descripción de lo que ha ocurrido durante el evento. |
Cada evento de auditoría también registra información adicional sobre lo que se puede ver en la página de auditoría. Esta información incluye el mecanismo de autenticación, un identificador de correlación para vincular eventos similares, el agente de usuario y datos adicionales en función del tipo de evento de auditoría. Esta información solo se puede ver mediante la exportación de los eventos de auditoría a través de CSV o JSON.
Id. & de correlación de id.
Cada evento de auditoría tiene identificadores únicos denominados "ID" y "CorrelationID". El identificador de correlación es útil para buscar eventos de auditoría relacionados. Por ejemplo, un proyecto creado puede generar varias docenas de eventos de auditoría. Puede vincular estos eventos entre sí porque todos tienen el mismo identificador de correlación.
Cuando un identificador de evento de auditoría coincide con su identificador de correlación, indica que el evento de auditoría es el evento primario o original. Para ver solo los eventos de origen, busque los eventos donde "ID" es igual al "id. de correlación" en cuestión. A continuación, si desea investigar un evento y sus eventos relacionados, puede buscar todos los eventos con un identificador de correlación que coincida con el identificador del evento de origen. No todos los eventos tienen eventos relacionados.
Eventos masivos
Algunos eventos de auditoría pueden contener varias acciones que se realizaron a la vez, también conocidas como "eventos de auditoría masiva". Puede distinguir estos eventos de otros con un "icono de información" en el extremo derecho del evento. Puede encontrar detalles individuales sobre las acciones incluidas en los eventos de auditoría masiva a través de los datos de auditoría descargados.
Al seleccionar el icono de información se muestra información adicional sobre lo que ha ocurrido en este evento de auditoría.
A medida que consulta los eventos de auditoría, puede encontrar las columnas Categoría y Área de interés. Estas columnas le permiten realizar una búsqueda para buscar solo los tipos de eventos que le interesan. Las tablas siguientes son una lista de categorías y áreas, así como sus descripciones:
Categorías
| Categoría | Descripción |
|---|---|
| Acceso | Artefactos vistos o abiertos en una organización. |
| Crear | Artefactos recién creados en una organización. |
| Eliminar | Artefactos eliminados o eliminados de una organización. |
| Execute | Procesos completados dentro de una organización. |
| Modificar | Artefactos modificados, como un cambio de estado o propiedad, realizados en una organización. |
| Cambiar nombre | Asigne un nombre a los cambios realizados en los artefactos de una organización. |
Áreas
Nota
Mientras la auditoría está en una versión preliminar pública, estamos trabajando duro para obtener más áreas auditadas. Hacemos todo lo posible para agregar nuevos eventos de auditoría mensualmente. Si desea ver un evento del que no se realiza el seguimiento actualmente, considere la posibilidad de compartirlo con nosotros en la página developer Community.
| Área | Descripción |
|---|---|
| Auditoría | Ver y descargar registros de auditoría. Acceso, creación, modificación, habilitación, deshabilitación y eliminación de flujos de auditoría. |
| Facturación | Agregar, cambiar o quitar suscripciones de Azure. Modifique las cantidades de facturación Pipelines, Artifacts y el uso de pruebas de carga en la nube. |
| Comprobaciones | Cree, modifique, elimine y realice un seguimiento del uso de comprobaciones, incluidas las aprobaciones en recursos protegidos Azure Pipelines (solo YAML). |
| Extensión | Instale, modifique, habilite, deshabilite y desinstale las extensiones de Marketplace de extensiones. |
| Git | Crear, modificar, habilitar, deshabilitar, bifurcar, eliminar y recuperar repositorios de Git en Azure Repos. Omitir directivas de PR. Cambiar las directivas de rama. |
| Grupo | Cree grupos y modifique las pertenencias a grupos. |
| Biblioteca | Cree, modifique, elimine y realice un seguimiento del uso de conexiones de servicio, grupos de variables, archivos seguros y grupos de agentes en Azure Pipelines. |
| Licencias | Asignar, modificar y quitar licencias. Crear, modificar y eliminar reglas de licencias de grupo. |
| Organización | Cree y modifique Azure DevOps organización. Vincular y desvincular a Azure Active Directory organizaciones. |
| OrganizationPolicy | Agregar, modificar o quitar directivas de organización. |
| Permisos | Modifique o quite permisos y listas de control de acceso para usuarios y grupos en toda Azure DevOps organización. |
| Pipelines | Cree, modifique y elimine Pipelines en Azure Pipelines. Autorización y desautorización de recursos para proyectos y canalizaciones. Modificar la configuración de retención de canalizaciones. Conservar y desenlace de las ejecuciones de canalización. |
| Directiva | Cree, modifique y elimine directivas para un repositorio git en Azure Repos. |
| Proceso | Crear, modificar y eliminar atributos para procesos (trabajos pendientes de cartera, controles, campos, grupos, listas, páginas, procesos, reglas, estados, configuración de control, elementos de trabajo, etc.) en Azure Boards. |
| Project | Crear, modificar, cambiar la visibilidad de los proyectos, eliminarlos y restaurarlos en Azure Boards. Crear, modificar y eliminar rutas de acceso de área. |
| Release | Cree, modifique y elimine versiones y canalizaciones de versión en Azure Pipelines. Realice un seguimiento de las implementaciones y las aprobaciones de implementación. |
| Token | Cree, modifique, revoque y elimine tokens de acceso personal (PAT) o claves SSH. Realice un seguimiento de la detección de repositorios públicos y las revocaciones del sistema de los PAT. Los eventos de acceso de token no se registran actualmente. |
Nota
¿Quiere averiguar qué áreas de eventos registra su organización? Asegúrese de consultar Audit Log Query API: , reemplazando {YOUR_ORGANIZATION} por el nombre de su organización. Esta API devuelve una lista de todos los eventos de auditoría que la organización podría emitir.
Filtrar el registro de auditoría por fecha y hora
En la interfaz de usuario de auditoría actual, solo puede filtrar eventos por un intervalo de fecha o hora. Para seleccionar el ámbito de los eventos de auditoría visualizables por un intervalo de fechas, seleccione el filtro de tiempo en la parte superior derecha de la página.
Use los filtros para seleccionar cualquier intervalo de tiempo de los últimos 90 días y selecciónelo hasta el minuto. Una vez que haya seleccionado un intervalo de tiempo, seleccione Aplicar en el selector de intervalo de tiempo para iniciar la búsqueda. De forma predeterminada, se devuelven los 200 primeros resultados para esa selección de tiempo. Si hay más resultados, puede desplazarse hacia abajo para cargarlos en la página.
Exportación de eventos de auditoría
Para realizar una búsqueda más detallada de los datos de auditoría o almacenar datos durante más de 90 días de datos, deberá exportar los eventos de auditoría existentes. Los datos exportados se pueden almacenar en otra ubicación o servicio.
Seleccione el botón Descargar en la parte superior derecha de la página de auditoría para exportar eventos de auditoría. Puede seleccionar descargar como un archivo CSV o JSON.
Al seleccionar cualquiera de las opciones, se inicia la descarga. Los eventos se descargan en función del intervalo de tiempo que haya seleccionado en el filtro. Si ha seleccionado un día, se devuelven datos por valor de un día. De forma transversal, si quiere los 90 días, seleccione 90 días en el filtro de intervalo de tiempo y, a continuación, inicie la descarga.
Nota
Para el almacenamiento a largo plazo y el análisis de los eventos de auditoría, considere la posibilidad de enviar los eventos de nivel inferior a una herramienta de administración de eventos e información de seguridad (SIEM) mediante la característica Audit Streaming. Se recomienda exportar los registros de auditoría para el análisis de datos cursory.
Para filtrar los datos por más que el intervalo de fecha y hora, se recomienda descargar registros como archivos CSV e importar Microsoft Excel u otros analizadores CSV para realizar un filtrado a través de las columnas Area y Category. Para el análisis de conjuntos de datos incluso más grandes, se recomienda cargar eventos de auditoría exportados en una herramienta de administración de eventos y incidentes de seguridad (SIEM) mediante la función Audit Streaming. Estas herramientas permiten mantener más de 90 días de eventos, búsquedas, informes generados y alertas configuradas basadas en eventos de auditoría.
Limitaciones
Existen las siguientes limitaciones para lo que se puede auditar.
- Azure Active Directory (Azure AD) cambios de pertenencia a grupos: los registros de auditoría incluyen actualizaciones de grupos de Azure DevOps y pertenencia a grupos (cuando un área de eventos es "Grupos"). Sin embargo, si administra la pertenencia a través de grupos de Azure AD, dichas adiciones y eliminaciones de usuarios de esos grupos de Azure AD no se auditan mediante Azure DevOps en estos registros. Revise los Azure AD de auditoría para ver cuándo se agregó o quitó un usuario o grupo de Azure AD grupo.
- Eventos de inicio de sesión: no se realiza un seguimiento de los eventos de inicio de sesión Azure DevOps. Vea los registros Azure AD auditoría para revisar los eventos de inicio de sesión en la Azure AD.
Preguntas más frecuentes
P: ¿Qué es el grupo DirectoryServiceAddMember y por qué aparece en el registro de auditoría?
A. El grupo DirectoryServiceAddMember es un grupo del sistema que se usa para ayudar a administrar la pertenencia a Azure DevOps organización. La pertenencia a este grupo de sistemas puede verse afectada por una serie de acciones administrativas, de usuario y del sistema. Como este grupo es un grupo del sistema que solo se usa para procesos internos, los clientes pueden pasar por alto las entradas del registro de auditoría que capturan los cambios de pertenencia a este grupo.