Accedere ai log di controllo, esportarli e filtrarli
Servizi di Azure DevOps
Nota
Il controllo è ancora in anteprima pubblica.
Nella pagina Controllo dell'organizzazione Impostazioni è possibile accedere, esportare e filtrare i log di controllo, che tengono traccia delle numerose modifiche che si verificano all'interno delle organizzazioni di Azure DevOps. Con questi log, è possibile usarli per soddisfare gli obiettivi di conformità e governance dell'organizzazione.
Importante
Il controllo è disponibile solo per le organizzazioni supportate da Microsoft Entra ID. Per altre informazioni, vedere Connettere l'organizzazione a Microsoft Entra ID.
Le modifiche di controllo si verificano ogni volta che un utente o un'identità del servizio all'interno dell'organizzazione modifica lo stato di un artefatto. È possibile che vengano visualizzati eventi registrati per una delle occorrenze seguenti:
- modifiche alle autorizzazioni
- risorse eliminate
- Modifiche ai criteri dei rami
- controllo dell'accesso al log e dei download
- e molto altro ancora...
Gli eventi vengono archiviati per 90 giorni, dopodiché vengono eliminati. Tuttavia, è possibile eseguire il backup degli eventi di controllo in una posizione esterna per conservare i dati per un periodo superiore ai 90 giorni.
È possibile accedere agli eventi di controllo tramite due metodi nella pagina Controllo dell'organizzazione Impostazioni:
- Tramite i log di controllo disponibili nella scheda Log principali e
- tramite tutti i flussi di controllo configurati tramite la scheda Flussi.
Nota
Il controllo non è disponibile per le distribuzioni locali di Azure DevOps Server. È possibile connettere un flusso di controllo da un'istanza di Azure DevOps Services a un'istanza locale o basata sul cloud di Splunk, ma è necessario assicurarsi di consentire intervalli IP per le connessioni in ingresso. Per informazioni dettagliate, vedere Elenchi di indirizzi consentiti e connessioni di rete, indirizzi IP e restrizioni di intervallo.
Prerequisiti
Il controllo è disattivato per impostazione predefinita per tutte le organizzazioni di Azure DevOps Services e può essere attivato e disattivato dai proprietari dell'organizzazione e dalla raccolta di progetti Amministrazione istrator nella pagina Organizzazione Impostazioni. Per impostazione predefinita, i Amministrazione istrator della raccolta di progetti sono l'unico gruppo con accesso completo alla funzionalità di controllo.
Autorizzazioni di controllo
- Per impostazione predefinita, i membri dei proprietari dell'organizzazione e della raccolta di progetti Amministrazione istrators hanno accesso completo a tutte le funzionalità di controllo.
- È possibile concedere autorizzazioni di controllo specifiche a qualsiasi gruppo tramite la pagina Autorizzazioni di sicurezza in Organization Impostazioni.
Nota
Se la funzionalità Limita visibilità utente e collaborazione a progetti specifici è abilitata per l'organizzazione, gli utenti aggiunti al gruppo Utenti con ambito progetto non possono visualizzare Il controllo e hanno una visibilità limitata alle pagine delle impostazioni dell'organizzazione. Per altre informazioni e importanti menzioni relative alla sicurezza, vedere Gestire l'organizzazione, Limitare la visibilità degli utenti per i progetti e altro ancora.
Abilitazione e disabilitazione del controllo
Accedere all'organizzazione (
https://dev.azure.com/{yourorganization}).Seleziona
Impostazioni organizzazione.Selezionare Criteri nell'intestazione Sicurezza .
Attivare o disattivare il pulsante Eventi di controllo log.
L'organizzazione avrà ora abilitato il controllo. Potrebbe essere necessario aggiornare la pagina per visualizzare la visualizzazione controllo nella barra laterale. Gli eventi di controllo inizieranno a essere visualizzati nei log di controllo e tramite tutti i flussi di controllo configurati.
- Se non si desidera più ricevere eventi di controllo, attivare il pulsante Abilita controllo su OFF. Quando il pulsante è disattivato, la pagina Controllo non verrà più visualizzata nella barra laterale e la pagina Log di controllo non sarà più disponibile. Tutti i flussi di controllo smetteranno di ricevere eventi.
Controllo di accesso
Accedere all'organizzazione (
https://dev.azure.com/{yourorganization}).Seleziona
Impostazioni organizzazione.
Selezionare Controllo.
Se non viene visualizzato Controllo nelle impostazioni dell'organizzazione, non si ha accesso per visualizzare gli eventi di controllo. Il gruppo project Collection Amministrazione istrators può concedere autorizzazioni ad altri utenti e gruppi in modo che possano visualizzare le pagine di controllo. A tale scopo, selezionare Autorizzazioni e quindi trovare il gruppo o gli utenti a cui fornire l'accesso di controllo.
Impostare Visualizza log di controllo per consentire e quindi selezionare Salva modifiche.
Gli utenti o i membri del gruppo avranno ora accesso per visualizzare gli eventi di controllo dell'organizzazione.
Esaminare il log di controllo
La pagina Controllo offre una visualizzazione semplice degli eventi di controllo registrati per l'organizzazione. Vedere la descrizione seguente delle informazioni visibili nella pagina di controllo:
Controlla informazioni e dettagli sugli eventi
| Informazioni | Dettagli |
|---|---|
| Attore | Nome visualizzato dell'utente che ha attivato l'evento di controllo. |
| IP | Indirizzo IP dell'utente che ha attivato l'evento di controllo. |
| Timestamp | Ora in cui si è verificato l'evento attivato. L'ora viene localizzata nel fuso orario dell'utente. |
| Area | Area del prodotto in Azure DevOps in cui si è verificato l'evento. |
| Category | Descrizione del tipo di azione che si è verificata( ad esempio, modificare, rinominare, creare, eliminare, rimuovere, eseguire e accedere all'evento). |
| Dettagli | Breve descrizione di ciò che è accaduto durante l'evento. |
Ogni evento di controllo registra anche informazioni aggiuntive su ciò che è visualizzabile nella pagina di controllo. Queste informazioni includono il meccanismo di autenticazione, un ID di correlazione per collegare eventi simili, agente utente e altri dati a seconda del tipo di evento di controllo. Queste informazioni possono essere visualizzate solo esportando gli eventi di controllo tramite file CSV o JSON.
ID e ID correlazione
Ogni evento di controllo ha identificatori univoci denominati "ID" e "CorrelationID". L'ID di correlazione è utile per trovare eventi di controllo correlati. Ad esempio, un progetto creato può generare diverse decine di eventi di controllo. È possibile collegare questi eventi insieme perché hanno tutti lo stesso ID di correlazione.
Quando un ID evento di controllo corrisponde al relativo ID di correlazione, indica che l'evento di controllo è l'evento padre o originale. Per visualizzare solo gli eventi di origine, cercare gli eventi in cui "ID" è uguale a "ID correlazione" in questione. Quindi, se si desidera analizzare un evento e i relativi eventi correlati, è possibile cercare tutti gli eventi con un ID di correlazione corrispondente all'ID dell'evento di origine. Non tutti gli eventi hanno eventi correlati.
Eventi in blocco
Alcuni eventi di controllo possono contenere più azioni eseguite contemporaneamente, note anche come "eventi di controllo bulk". È possibile distinguere questi eventi da altri con un'icona "Informazioni" all'estrema destra dell'evento. È possibile trovare i singoli dettagli sulle azioni incluse negli eventi di controllo bulk tramite i dati di controllo scaricati.
Selezionando l'icona delle informazioni vengono visualizzate informazioni aggiuntive su ciò che è accaduto in questo evento di controllo.
Quando si esaminano gli eventi di controllo, è possibile trovare le colonne Categoria e Area di interesse. Queste colonne consentono di esaminare solo i tipi di eventi a cui si è interessati. Le tabelle seguenti sono un elenco di categorie e aree e le relative descrizioni:
Elenco di eventi
È consigliabile aggiungere nuovi eventi di controllo mensilmente. Se si vuole visualizzare un evento che non è attualmente monitorato, è consigliabile condividerlo con microsoft nella community degli sviluppatori.
Per un elenco completo di tutti gli eventi che è attualmente possibile generare tramite la funzionalità Di controllo, vedere l'elenco degli eventi di controllo.
Nota
Vuoi scoprire quali aree eventi registra l'organizzazione? Assicurarsi di controllare l'API Query log di controllo: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, sostituendo {YOUR_ORGANIZATION} con il nome dell'organizzazione. Questa API restituisce un elenco di tutti gli eventi di controllo (o azioni) che l'organizzazione potrebbe generare.
Filtrare il log di controllo in base a data e ora
Nell'interfaccia utente di controllo corrente è possibile filtrare solo gli eventi in base a un intervallo di data o ora. Per definire l'ambito degli eventi di controllo visualizzabili in base a un intervallo di date, selezionare il filtro ora sul lato superiore destro della pagina.
Usare i filtri per selezionare qualsiasi intervallo di tempo negli ultimi 90 giorni e definire l'ambito fino al minuto. Dopo aver selezionato un intervallo di tempo, selezionare Applica nel selettore dell'intervallo di tempo per avviare la ricerca. Per impostazione predefinita, vengono restituiti i primi 200 risultati per la selezione dell'ora. Se sono presenti altri risultati, è possibile scorrere verso il basso per caricarli nella pagina.
Esportare gli eventi di controllo
Per eseguire una ricerca più dettagliata sui dati di controllo o archiviare i dati per più di 90 giorni di dati, è necessario esportare gli eventi di controllo esistenti. I dati esportati possono quindi essere archiviati in un'altra posizione o servizio.
Selezionare il pulsante Scarica nella parte superiore destra della pagina di controllo per esportare gli eventi di controllo. È possibile selezionare per il download come file CSV o JSON.
Se si seleziona una delle due opzioni, viene avviato il download. Gli eventi vengono scaricati in base all'intervallo di tempo selezionato nel filtro. Se è stato selezionato un giorno, si ottengono i dati restituiti di un giorno. Inversamente, se si desiderano tutti i 90 giorni, selezionare 90 giorni dal filtro dell'intervallo di tempo e quindi avviare il download.
Nota
Per l'archiviazione e l'analisi a lungo termine degli eventi di controllo, è consigliabile inviare gli eventi downstream a uno strumento SIEM (Security Information and Event Management) usando la funzionalità Audit Streaming. L'esportazione dei log di controllo è consigliata per l'analisi dei dati cursori.
Per filtrare i dati in base all'intervallo di data/ora, è consigliabile scaricare i log come file CSV e importare microsoft Excel o altri parser CSV per analizzare le colonne Area e Categoria. Per l'analisi su set di dati ancora più grandi, è consigliabile caricare gli eventi di controllo esportati in uno strumento SIEM (Security Incident and Event Management) usando la funzione Audit Streaming. Tali strumenti consentono di mantenere più di 90 giorni di eventi, ricerche, report generati e avvisi configurati in base agli eventi di controllo.
Limiti
Esistono le limitazioni seguenti per ciò che è possibile controllare.
- Modifiche all'appartenenza ai gruppi di Microsoft Entra: i log di controllo includono aggiornamenti ai gruppi di Azure DevOps e all'appartenenza ai gruppi (quando un'area eventi è "Gruppi"). Tuttavia, se si gestisce l'appartenenza tramite i gruppi di Microsoft Entra, tali aggiunte e rimozioni degli utenti da tali gruppi di Microsoft Entra non vengono controllate da Azure DevOps in questi log. Esaminare i log di controllo di Microsoft Entra per verificare quando un utente o un gruppo è stato aggiunto o rimosso da un gruppo Microsoft Entra.
- Eventi di accesso: non è possibile tenere traccia degli eventi di accesso per Azure DevOps. Visualizzare i log di controllo di Microsoft Entra per esaminare gli eventi di accesso all'ID Microsoft Entra.
Domande frequenti
D: Che cos'è il gruppo DirectoryServiceAddMember e perché viene visualizzato nel log di controllo?
R: Il gruppo DirectoryServiceAddMember è un gruppo di sistema usato per gestire l'appartenenza all'organizzazione di Azure DevOps. L'appartenenza a questo gruppo di sistema può essere influenzata da molte azioni di sistema, utente e amministrative. Poiché questo gruppo è un gruppo di sistema usato solo per i processi interni, i clienti possono ignorare le voci del log di controllo che acquisisce le modifiche di appartenenza a questo gruppo.
Articoli correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per