Доступ, экспорт и фильтрация журналов аудита

Azure DevOps Services

Вы можете получать доступ, экспортировать и фильтровать журналы аудита. журналы аудита содержат много изменений, происходящих во Azure DevOps организации. Изменения происходят, когда удостоверение пользователя или службы в Организации изменяет состояние артефакта.

События аудита могут быть следующими:

  • изменения разрешений
  • удаленные ресурсы
  • изменения политики ветви
  • доступ к функции аудита
  • и многое другое

Примечание

Аудит в настоящее время находится в общедоступной предварительной версии для Azure DevOps Services. Аудит недоступен для локальных развертываний. Для аудита подключения к локальной или облачной Splunk требуется разрешить диапазоны IP-адресов для входящего подключения. Дополнительные сведения см. в разделе Разрешенные списки адресов и сетевые подключения, ограничения IP-адресов и диапазонов.

аудит включен по умолчанию для всех Azure DevOps Services организаций. Вы не можете отключить аудит, что гарантирует, что вы никогда не пропустили событие, требующее действий. События будут храниться в течение 90 дней, после чего они будут удалены. Однако можно выполнить резервное копирование событий аудита во внешнее расположение, чтобы данные не превышали 90-дневного периода.

Предварительные требования

по умолчанию администраторы коллекции Project являются единственной группой, имеющей полный доступ к функции аудита.

Разрешения аудита

  • члены группы администраторов коллекции Project имеют полный доступ ко всем функциям аудита.
  • члены группы " действительные пользователи коллекции Project " могут просматривать страницу аудита и экспортировать журналы аудита.

Примечание

если для организации включена функция ограничить видимость пользователей для проектов , то пользователи, добавленные в группу " пользователи уровня Project ", не смогут просматривать аудит и иметь ограниченную видимость страниц параметров организации . дополнительные сведения см. в статье о проектах и масштабировании организации, группы пользователей с областью действия Project.

Доступ к данным аудита

Примечание

сведения о включении нового пользовательского интерфейса для разрешений организации Параметры странице см. в разделе включение предварительных версий функций.

  1. Войдите в свою организацию ( https://dev.azure.com/{yourorganization} ).

  2. Выберите  значок шестеренки Параметры организации.

    Открыть параметры Организации

  3. Выберите Аудит.

    Страница предварительного просмотра аудита Если вы не видите пункт аудит в параметрах Организации, то у вас нет доступа к просмотру событий аудита. за пределами группы "администраторы коллекции Project" можно предоставить разрешения другим пользователям и группам, чтобы они могли просматривать аудит.

  4. Выберите разрешения, а затем найдите группу или пользователей, которым нужно предоставить доступ для аудита.

    Снимок экрана вкладки "выделенные разрешения".

  5. Установите для параметра Просмотр журнала аудита значение Разрешить, а затем выберите сохранить изменения. Снимок экрана с предварительным просмотром разрешений на доступ к аудиту.

Члены группы "пользователь" или "Группа" имеют доступ для просмотра событий аудита вашей организации.

Проверка журнала аудита

На странице аудита представлено простое представление событий аудита, записанных для вашей организации. Можно выполнять поиск только по диапазону времени, чтобы найти события аудита, произошедшие за последние 90 дней.

Ознакомьтесь со следующим описанием сведений, отображаемых на странице аудита.

Сведения о событиях аудита и сведения

Сведения Сведения
Субъект Отображаемое имя пользователя, запустившего событие аудита.
IP-адрес IP-адрес пользователя, запустившего событие аудита.
Отметка времени Время, когда произошло событие, инициированное триггером. Время локализовано для часового пояса.
Область расположение в Azure DevOps, где произошло событие.
Категория Описание типа произошедшего действия. Например, изменение, переименование, создание, удаление, удаление, выполнение и доступ.
Сведения Краткое описание того, что произошло во время события.

Каждое событие аудита записывает дополнительные сведения о том, что можно просмотреть на странице аудита. Эти сведения включают механизм проверки подлинности, идентификатор корреляции для связывания схожих событий вместе, агент пользователя и дополнительные сведения, зависящие от типа события аудита. Эти сведения можно просмотреть только путем загрузки событий аудита.

Чтобы ограничить область просмотра событий аудита, выберите фильтр времени в верхней правой части страницы.

Фильтр записи аудита по дате & времени

Вы можете выбрать любой диапазон времени за последние 90 дней и ограничить его область до минуты. Выбрав диапазон времени, щелкните в любом месте вне селектора диапазона времени, чтобы начать поиск. По умолчанию первые 200 результатов возвращаются для выбранного времени. Если результаты больше, можно прокрутить вниз, чтобы загрузить их на страницу. Если вы хотите дополнительно ограничить набор возвращаемых результатов, необходимо загрузить данные аудита.

Некоторые события аудита могут содержать несколько действий, которые выполнялись одновременно, называемые событиями с массовым аудитом. Вы можете отличать эти события от других с помощью сведений в правом углу события.

Значок «аудит дополнительных сведений»

При выборе значка сведений отображаются дополнительные сведения о том, что произошло в этом событии аудита.

Экспорт событий аудита

Чтобы выполнить более подробный поиск данных аудита или хранить данные более 90 дней, необходимо экспортировать существующие события аудита. Экспортированные данные можно сохранить в другом расположении или службе.

Нажмите кнопку скачать в правой верхней части страницы аудита, чтобы экспортировать события аудита. Вы можете загрузить файл в формате CSV или JSON.

При выборе любого из этих параметров запускается загрузка. События загружаются на основе диапазона времени, выбранного в фильтре. Если выбран один день, вы получаете данные за один день. В обратном случае, если требуется все 90 дней, выберите 90 дней из фильтра диапазона времени, а затем начните загрузку.

Фильтровать журнал аудита

События аудита можно искать по диапазону времени в Azure DevOps. Другие, более подробные типы поиска потребовали других средств после экспорта данных событий аудита.

Мы рекомендуем скачать журналы в виде CSV-файлов для быстрого исследования. затем можно использовать Microsoft Excel или другие средства синтаксического анализа CSV для быстрой фильтрации по столбцам области и категории. В долгосрочном исследовании рекомендуется поместить экспортированные события аудита в средство управления инцидентами и событиями безопасности (SIEM). Это средство позволяет вести более 90 дней событий, поисков, созданных отчетов и настроенных оповещений на основе событий аудита.

При фильтрации по событиям аудита лучше использовать столбцы « область » и « Категория ». Эти столбцы позволяют быстро фильтровать только те типы событий, которые вас интересуют. В следующих таблицах приведен список областей и категорий, а также их описания.

Категории

Категория Описание
Изменить Измененный артефакт, который может быть изменением состояния или свойства в Организации.
Переименовать Имя артефакта изменилось в Организации.
Создать Вновь созданные артефакты в Организации.
Удалить Удаленные или удаленные артефакты из Организации.
Access Просмотренные или открытые артефакты в Организации.

Области

Примечание

Пока аудит находится в общедоступной предварительной версии, мы работаем над тем, чтобы получить дополнительные области для аудита. Мы добавляем новые события аудита ежемесячно.

Если вы не можете найти событие аудита, которое вы ищете в следующей таблице, проверьте REST API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions . Замените {YOUR_ORGANIZATION} именем вашей организации. В API отображается список всех событий аудита, которые могут выдаваться Организацией.

Область Описание
Разрешения следите за изменениями разрешений, внесенными в группы и пользователей в рамках Azure DevOpsной организации.
Project Создание, удаление, изменение видимости, обновление и переименование проекта в Организации. Создание пути к области, изменение пути к области и удаление пути к области.
Аудит Просмотр или скачивание журнала аудита.
Модули Установка, удаление, включение, отключение и обновление расширений.
Лицензирование Назначение, изменение и удаление лицензий. Создание, изменение и удаление правил лицензирования групп.
Процесс Process (Agile) создание, удаление и изменение.
Pipelines создание, удаление и обновление Pipelines (только конвейеры UX конструктора в данный момент)
Политика Создание, удаление и обновление политики для репозитория Git.
Git Создание, удаление, изменение, обход политики PR и удаление репозитория Git.
Группа Изменение, обновление, удаление, создание и переименование членства в группе.
Выпуск Создание, удаление, изменение, утверждение завершено и развертывание завершено для выпуска.
организатионполици Изменения политик организации (например, без обычной проверки подлинности).
План переименование, изменение владельца, ссылка на Azure Active Directory (azure ad) и отмена связи с Azure ad.
Безопасность Изменение разрешений безопасности, создание группы, удаление группы, обновление группы, Добавление участника в группу и удаление участника из группы.
Гибкая методика Обработка, создание, удаление и изменение.
Уведомление Создание, удаление и изменение подписки.
Git Политики ветви, создание, удаление и переименование репозитория.
Выставление счетов Добавление, изменение и удаление подписки Azure для выставления счетов, изменения количества счетов (конвейеры, артефакты и нагрузочный тест в облаке)
Пользователь События входа или доступ к событиям PAT и SSH
Маркер и проверка подлинности Создание, обновление, удаление и отмена личных маркеров доступа (ПАТС) или ключей SSH.

Советы по фильтрации

После загрузки копии событий аудита можно просмотреть дополнительные сведения о каждом событии. Ознакомьтесь со следующими полезными советами о том, как фильтровать события, не используя поля категорий и областей.

Идентификатор корреляции &

Каждое событие аудита имеет уникальные идентификаторы, называемые "ID" и "CorrelationID". Идентификатор корреляции полезен для поиска связанных событий аудита. Например, созданный проект может создавать несколько десятков событий аудита. Эти события можно связать вместе, так как все они имеют одинаковый идентификатор корреляции.

Если идентификатор события аудита совпадает с ИДЕНТИФИКАТОРом корреляции, он указывает на то, что событие аудита является родительским или исходным событием. Таким образом, исходное событие, показывающее, что пользователь создал проект, имеет тот же идентификатор, что и идентификатор корреляции. Чтобы просмотреть только исходящие события, можно задать фильтр, где "идентификатор" равен "ИДЕНТИФИКАТОРу корреляции". Если вы нашли событие, которое необходимо исследовать, можно найти только события с этим ИДЕНТИФИКАТОРом корреляции. Не все события имеют другие связанные события.

Ограничения

Для аудита можно использовать следующие ограничения.

  • изменения в членстве в группах Azure AD. в будущем аудит включает изменения в группы Azure DevOps, например добавление или удаление группы или пользователя. Однако если вы управляете членством с помощью групп Azure AD, то добавление и удаление пользователей из этих групп Azure AD не производится Azure DevOps. Просмотрите журналы аудита Azure AD, чтобы увидеть, когда пользователь или группа были добавлены или удалены из группы Azure AD.
  • Вход — мы не будем записывать события входа для Azure DevOps. Просмотрите журналы аудита Azure AD, чтобы просмотреть события входа в Azure AD.