監査ログへのアクセス、エクスポート、およびフィルター処理Access, export, and filter audit logs

Azure DevOps ServicesAzure DevOps Services

監査ログへのアクセス、エクスポート、およびフィルター処理を行うことができます。You can access, export, and filter audit logs. 監査ログには、Azure DevOps 組織全体で発生する多くの変更が含まれています。Audit logs contain many changes that occur throughout an Azure DevOps organization. 変更は、組織内のユーザーまたはサービス id がアイテムの状態を編集したときに発生します。Changes occur when a user or service identity within the organization edits the state of an artifact.

監査イベントは次のようになります。Audit events can be the following occurrences:

  • アクセス許可の変更permissions changes
  • 削除されたリソースdeleted resources
  • ブランチポリシーの変更branch policy changes
  • 監査機能へのアクセスaccessing the auditing feature
  • その他and much more

注意

監査は現在、Azure DevOps Services のパブリックプレビュー段階にあります。Auditing is currently in a Public Preview for Azure DevOps Services. 監査は、内部設置型の配置では使用できません。Auditing isn't available for on-premises deployments. 監査をオンプレミスまたはクラウドベースの場合に接続するには、着信接続に対して IP 範囲を許可する必要があります。For auditing to connect to an on-premises or cloud-based Splunk requires allowing IP ranges for inbound connection. 詳細については、「 許可されているアドレス一覧とネットワーク接続、IP アドレス、および範囲の制限」を参照してください。For details, see Allowed address lists and network connections, IP addresses and range restrictions.

監査は、すべての Azure DevOps Services 組織に対して既定で有効になっています。Auditing is turned on by default for all Azure DevOps Services organizations. 監査を無効にすることはできません。これにより、実行可能なイベントを見逃しなくなります。You can't turn auditing off, which ensures that you never miss an actionable event. イベントは90日間保存され、削除されます。Events get stored for 90 days and then they’re deleted. ただし、監査イベントを外部の場所にバックアップして、データを90日より長い期間保持することができます。However, you can back up audit events to an external location to keep the data for longer than the 90-day period.

前提条件Prerequisites

既定では、プロジェクトコレクション管理者は、監査機能へのフルアクセスを持つ唯一のグループです。By default, Project Collection Administrators are the only group that have full access to the auditing feature.

監査のアクセス許可Audit permissions

  • プロジェクトコレクション管理者 グループのメンバーは、すべての監査機能にフルアクセスできます。Members of the Project Collection Administrators group have full access to all auditing features.
  • プロジェクトコレクションの有効なユーザー グループのメンバーは、[監査] ページを表示し、監査ログをエクスポートできます。Members of the Project Collection Valid Users group can view the Auditing page and export audit logs.

注意

組織で [ プロジェクトのユーザーの表示を制限 する] プレビュー機能が有効になっている場合、 プロジェクトスコープのユーザー グループに追加されたユーザーは 監査 を表示できず、 組織の設定 ページの表示が制限されます。If the Limit user visibility for projects preview feature is enabled for the organization, users added to the Project-Scoped Users group can't view Auditing and have limited visibility to Organization Setting pages. 詳細については、「 プロジェクトについて」および「組織のプロジェクトスコープユーザーグループのスケーリング」を参照してください。To learn more, see About projects and scaling your organization, Project-scoped Users group.

アクセスの監査Access auditing

注意

[組織のアクセス許可] 設定ページで新しいユーザーインターフェイスを有効にするには、「 プレビュー機能を有効にする」を参照してください。To enable the new user interface for the Organization Permissions Settings Page, see Enable preview features.

[プレビュー] ページPreview page

  1. 組織 () にサインイン https://dev.azure.com/{yourorganization} します。Sign in to your organization (https://dev.azure.com/{yourorganization}).

  2. ![歯車アイコン 組織の設定] を選択します。Select gear icon Organization settings.

    組織の設定を開く

  3. [ 監査] を選択します。Select Auditing.

    [監査のプレビュー] ページ 組織の設定に監査が表示されない場合は、監査イベントを表示するアクセス権がありません。Auditing preview page If you don't see Auditing in Organization settings, then you don't have access to view audit events. プロジェクトコレクション管理者グループの外部では、監査を表示できるように、他のユーザーやグループにアクセス許可を与えることができます。Outside of the Project Collection Administrators group, you can give permissions to other users and groups, so they can view auditing.

  4. [ アクセス許可] を選択し、監査アクセスを提供するグループまたはユーザーを検索します。Select Permissions, and then find the group or users to provide auditing access to.

    強調表示された [アクセス許可] タブのスクリーンショット。

  5. [ 監査ログの表示 ] を [ 許可] に設定し、[ 変更の保存] を選択します。Set View audit log to allow, and then select Save changes. 監査アクセス許可のプレビューのスクリーンショット。Screenshot of Auditing access permission preview.

ユーザーまたはグループのメンバーは、組織の監査イベントを表示するためのアクセス権を持っています。The user or group members have access to view your organization audit events.

  1. 組織 () にサインイン https://dev.azure.com/{yourorganization} します。Sign in to your organization (https://dev.azure.com/{yourorganization}).

  2. ![歯車アイコン 組織の設定] を選択します。Select gear icon Organization settings.

    組織の設定を開く

  3. [ 監査] を選択します。Select Auditing.

    監査ビューの現在のページのスクリーンショット 組織の設定に監査が表示されない場合は、監査イベントを表示するアクセス権がありません。Screenshot of Auditing view current page If you don't see Auditing in Organization settings, then you don't have access to view audit events. プロジェクトコレクション管理者グループの外部では、監査を表示できるように、他のユーザーやグループにアクセス許可を与えることができます。Outside of the Project Collection Administrators group, you can give permissions to other users and groups, so they can view auditing.

  4. [ セキュリティ] を選択し、監査アクセスを提供するグループまたはユーザーを見つけます。Select Security, and then find the group or users to provide auditing access to.

  5. [ 監査ログの表示 ] を [ 許可] に設定し、[ 変更の保存] を選択します。Set View audit log to allow, and then select Save changes. 監査アクセス許可の現在のビューのスクリーンショット。Screenshot of Auditing access permission current view.

ユーザーまたはグループのメンバーは、組織の監査イベントを表示するためのアクセス権を持っています。The user or group members have access to view your organization audit events.

監査ログの確認Review audit log

[監査] ページでは、組織に対して記録された監査イベントを簡単に確認できます。The auditing page provides a simple view into the audit events recorded for your organization. 時間範囲で検索できるのは、過去90日以内に発生した監査イベントを検索する場合のみです。You can only search by time range to find audit events that occurred within the last 90 days.

[監査] ページに表示される情報については、次の説明を参照してください。See the following description of the information that's visible on the auditing page.

監査イベントの情報と詳細Audit event information and details

InformationInformation 詳細Details
ActorActor 監査イベントを発生させた個人の表示名。Display name of the individual that triggered the audit event.
IPIP 監査イベントをトリガーした個人の IP アドレス。IP address of the individual that triggered the audit event.
TimestampTimestamp トリガーされたイベントが発生した時刻。Time that the triggered event happened. 時刻は、タイムゾーンにローカライズされます。Time is localized to your time zone.
区分Area イベントが発生した Azure DevOps 内の場所。Location in Azure DevOps where the event occurred.
カテゴリCategory 発生したアクションの種類の説明。Description of the type of action that occurred. たとえば、[変更]、[名前の変更]、[作成]、[削除]、[削除]、[実行]、および [アクセス] です。For example, modify, rename, create, delete, remove, execute, and access.
詳細Details イベント中に発生した問題の簡単な説明。Brief description of what happened during the event.

各監査イベントには、[監査] ページに表示される内容に関する追加情報が記録されます。Each audit event records additional information to what's viewable on the auditing page. この情報には、認証メカニズム、類似イベントをリンクする相関 ID、ユーザーエージェント、および監査イベントの種類に依存する追加情報が含まれます。This information includes the authentication mechanism, a correlation ID to link similar events together, user agent, and additional information that’s dependent on the type of audit event. この情報を表示するには、監査イベントをダウンロードする必要があります。This information can only be viewed by downloading auditing events.

表示可能な監査イベントの範囲を絞り込むには、ページの右上にある [時間] フィルターを選択します。To scope down the viewable audit events, select the time filter on the top-right-hand side of the page.

日付 & 時刻によるエントリフィルターの監査

過去90日の任意の時間範囲を選択して、その範囲を分単位にすることができます。You can select any time range over the last 90 days and scope it down to the minute. 時間範囲を選択したら、[時間範囲] セレクターから任意の場所を選択して検索を開始します。Once you’ve selected a time range, select anywhere off the time range selector to start the search. 既定では、その時間の選択に対して上位の200件の結果が返されます。By default, the top 200 results are returned for that time selection. さらに結果がある場合は、下にスクロールしてページに読み込むことができます。If there are more results, then you can scroll down to load them onto the page. 返された結果のセットをさらに絞りたい場合は、監査データをダウンロードする必要があります。If you wish to further scope down the set of results returned, then you need to download the auditing data.

一部の監査イベントには、一括監査イベントと呼ばれる、一度に実行された複数のアクションを含めることができます。Some audit events can contain multiple actions that took place at once, known as bulk audit events. イベントの右端にある情報を使用して、これらのイベントを他のイベントと区別することができ ます。

監査の詳細情報のアイコン

情報アイコンを選択すると、この監査イベントの内容に関する追加情報が表示されます。Selecting the information icon displays additional information about what happened in this audit event.

監査イベントのエクスポートExport auditing events

監査データをより詳細に検索したり、90日を超えるデータを格納したりするには、既存の監査イベントをエクスポートする必要があります。To do a more detailed search of the auditing data, or store more than 90 days of data, you need to export existing audit events. エクスポートされたデータは、別の場所またはサービスに格納できます。The exported data can then be stored in another location or service.

監査イベントをエクスポートするには、[監査] ページの右上にある [ ダウンロード ] ボタンを選択します。Select the Download button in the top-right-hand side of the auditing page to export auditing events. CSV ファイルまたは JSON ファイルとしてダウンロードするように選択できます。You can select to download as a CSV or JSON file.

いずれかのオプションを選択すると、ダウンロードが開始されます。Selecting either option starts the download. イベントは、フィルターで選択した時間の範囲に基づいてダウンロードされます。Events get downloaded based on the time range you've selected in the filter. 1日を選択した場合は、1日分のデータが得られます。If you had one day selected, then you get that one day’s worth of data. 面内90日が必要な場合は、[時間の範囲] フィルターから [90 日] を選択し、ダウンロードを開始します。Transversely, if you wanted all 90 days, select 90 days from the time range filter and then start the download.

監査ログのフィルターFilter audit log

Azure DevOps の時間範囲で監査イベントを検索できます。You can search audit events by time range in Azure DevOps. その他のより詳細な種類の検索では、監査イベントデータをエクスポートした後に他のツールが必要になります。Other, more detailed types of searches require other tools after exporting your audit event data.

クイック調査のために、ログを CSV ファイルとしてダウンロードすることをお勧めします。We recommend you download the logs as CSV files for quick investigations. その後、Microsoft Excel またはその他の CSV パーサーを使用して、区分およびカテゴリの列をすばやくフィルター処理できます。You can then use Microsoft Excel or other CSV parsers to quickly filter on the area and category columns. 長期的な調査では、エクスポートされた監査イベントをセキュリティインシデントおよびイベント管理 (SIEM) ツールに配置することをお勧めします。In longer term investigations, we recommend you place your exported audit events in a Security Incident and Event Management (SIEM) tool. このツールを使用すると、監査イベントに基づいて、90日を超えるイベント、検索、生成されたレポート、および構成された警告を保持することができます。The tool allows you to keep greater than 90 days of events, searches, generated reports, and configured alerts based on audit events.

監査イベントを使用してフィルター処理を行う場合は、 区分 列と カテゴリ 列を使用することをお勧めします。When you filter through audit events, it’s best to use the area and category columns. これらの列を使用すると、関心のあるイベントの種類のみをすばやく絞り込むことができます。These columns allow you to quickly filter down to only the types of events that you’re interested in. 次の表には、区分とカテゴリの一覧とその説明が含まれています。The following tables have a list of areas and categories, and their descriptions.

CategoriesCategories

カテゴリCategory 説明Description
変更Modify 組織内の状態またはプロパティの変更の可能性がある変更された成果物。A changed artifact, which could be a state or property change, in an organization.
[名前の変更]Rename アーティファクトの名前が組織内で変更されました。Artifact had its name changed in an organization.
作成Create 組織内に新しく作成されたアーティファクト。Newly created artifacts in an organization.
削除Delete 組織のアーティファクトを削除または削除した。Deleted or removed artifacts from an organization.
アクセスAccess 組織内のアイテムを表示または開く。Viewed or opened artifacts in an organization.

AreasAreas

注意

監査はパブリックプレビュー段階にありますが、監査対象となる領域を増やすために努力しています。While auditing is in a public preview, we're working hard to get more areas audited. 新しい監査イベントを毎月追加しています。We're adding new auditing events monthly.

次の表に、探している監査イベントが見つからない場合は、REST API を確認して https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions ください。If you can't find the auditing event you're looking for in the following table, be sure to check the REST API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions. {YOUR_ORGANIZATION} を組織の名前に置き換えます。Replace {YOUR_ORGANIZATION} with the name of your organization. この API は、組織が生成できるすべての監査イベントの一覧を表示します。The API shows a list of all audit events your organization could emit.

領域Area 説明Description
アクセス許可Permissions Azure DevOps 組織全体でグループとユーザーに加えられたアクセス許可の変更を追跡します。Track permission changes made to groups and users throughout an Azure DevOps organization.
ProjectProject 組織内のプロジェクトの作成、削除、変更、表示、更新、および名前の変更を行います。Create, delete, change visibility, update, and rename a project in an organization. 区分パスを作成し、区分パスを更新して、区分パスを削除します。Create area path, update area path, and delete area path.
AuditAudit 監査ログを表示またはダウンロードします。View or download the audit log.
の拡張Extensions 拡張機能のインストール、削除、有効化/無効化、および更新を行います。Install, remove, enable/disable, and update extensions.
ライセンスLicensing ライセンスの割り当て、変更、および削除を行います。Assign, change, and remove licensing. グループライセンスルールを作成、変更、および削除します。Create, modify, and delete group licensing rules.
ProcessProcess プロセス (アジャイル) の作成、削除、および変更。Process (agile) create, delete, and modify.
パイプラインPipelines パイプラインを作成、削除、および更新する (現時点ではデザイナー UX パイプラインのみ)Create, delete, and update Pipelines (designer UX pipelines only at this time)
ポリシーPolicy Git リポジトリのポリシーを作成、削除、および更新します。Create, delete, and update policy for a Git repo.
GitGit 作成、削除、変更、PR ポリシーのバイパス、および Git リポジトリの削除を行います。Create, delete, modify, bypass PR policy, and delete Git repo.
グループGroup グループメンバーシップの変更、更新、削除、作成、および名前の変更を行います。Change, update, delete, create, and rename group membership.
ReleaseRelease リリースの作成、削除、変更、承認完了、および配置が完了しました。Create, delete, modify, approval complete, and deployment complete for a release.
組織のポリシーOrganizationPolicy 組織のポリシーに対する変更 (基本的な認証など)。Changes to organization policies (for example, no basic authentication).
OrganizationOrganization 名前変更、所有者の変更、Azure Active Directory へのリンク (Azure AD)、および Azure AD からのリンクの解除を行います。Rename, change owner, link to Azure Active Directory (Azure AD), and unlink from Azure AD.
SecuritySecurity セキュリティアクセス許可の変更、グループの作成、グループの削除、グループの更新、グループへのメンバーの追加、グループからのメンバーの削除を行います。Modify security permissions, create group, delete group, update group, add member to group, and remove member from group.
アジャイルAgile 処理、作成、削除、および変更。Process, create, delete, and modify.
NotificationNotification サブスクリプションを作成、削除、および変更します。Create, remove, and modify a subscription.
GitGit ブランチポリシーを作成し、リポジトリを作成、削除、名前変更します。Branch policies, and create, delete, and rename repository.
課金Billing 課金のための Azure サブスクリプションの追加、変更、削除、請求数量 (パイプライン、成果物、クラウドロードテスト) の変更Adding, changing, and removing Azure Subscription for billing, Changes to billing quantities (pipelines, artifacts and cloud load test)
UserUser PAT と SSH のサインインイベントまたはアクセスイベントSign-in events or access events of PAT and SSH
トークン/認証Token / Authentication 個人用アクセストークン (または SSH キー) を作成、更新、および削除または取り消します。Create, update, and remove or revoke Personal Access Tokens (PATs) or SSH Keys.

フィルター処理のヒントFiltering tips

によって監査イベントのコピーがダウンロードされ、各イベントの追加情報が表示されます。With a downloaded a copy of your auditing events, you can see the additional information with each event. カテゴリフィールドと区分フィールドのみを使用する以外に、イベントをフィルター処理する方法については、次の便利なヒントを参照してください。See the following useful tips for how to filter through events beyond using only the categories and areas fields.

ID & 相関 IDID & correlation ID

各監査イベントには、"ID" と "CorrelationID" と呼ばれる一意の識別子があります。Each audit event has unique identifiers called the “ID” and “CorrelationID”. 関連付け ID は、関連する監査イベントの検索に役立ちます。The correlation ID is helpful for finding related audit events. たとえば、作成されたプロジェクトでは、数十の監査イベントを生成できます。For example, a created project can generate several dozen audit events. これらのイベントはすべて同じ相関 ID を持つため、これらのイベントをリンクすることができます。You can link these events together because they all have the same correlation ID.

監査イベント ID が関連付け ID と一致する場合は、監査イベントが親イベントまたは元のイベントであることを示します。When an audit event ID matches its correlation ID, it indicates that the audit event is the parent or original event. そのため、ユーザーがプロジェクトを作成したことを示す最初のイベントには、相関 ID と同じ ID が付けられます。So, the initial event, showing that a user created a project, has the same ID as the correlation ID. 送信元のイベントのみを表示するには、"ID" が "関連付け ID" と等しいフィルターを設定します。To see only originating events, you can set a filter where “ID” equals the “Correlation ID”. 調査するイベントが見つかった場合は、その相関 ID を持つイベントのみを検索することができます。Then, if you find an event that you want to investigate, you can search for only events with that correlation ID. すべてのイベントに他の関連イベントがあるわけではありません。Not all events have other related events.

制限事項Limitations

監査できる対象には、次の制限があります。The following limitations exist for what can be audited.

  • グループメンバーシップの変更の Azure AD –今後、監査には、グループまたはユーザーの追加や削除など、Azure DevOps グループへの変更が含まれます。Azure AD group membership changes – In the future, auditing includes changes to Azure DevOps groups, such as adding or removing a group or user. ただし Azure AD グループを介してメンバーシップを管理する場合、それらの Azure AD グループからのユーザーの追加と削除は、Azure DevOps によって監査されません。However, if you manage membership via Azure AD groups, additions and removals of users from those Azure AD groups aren't audited by Azure DevOps. Azure AD 監査ログを確認して、ユーザーまたはグループが Azure AD グループに追加または削除された日時を確認します。Review the Azure AD audit logs to see when a user or group was added or removed from an Azure AD group.
  • サインイン-Azure DevOps のサインインイベントは追跡されません。Signing in – We don't track sign in events for Azure DevOps. Azure AD 監査ログを表示して、Azure AD へのサインインイベントを確認します。View the Azure AD audit logs to review sign in events to your Azure AD.