访问、导出和筛选审核日志

Azure DevOps Services

注意

审核仍以公共预览版提供。

在组织设置的“审核”页上,可以访问、导出和筛选审核日志,这些日志跟踪Azure DevOps组织内发生的许多更改 () 。 使用这些日志,你可以使用它们来满足组织的合规性和治理目标。

重要

审核仅适用于由Azure Active Directory支持的组织。 有关详细信息,请参阅连接组织Azure Active Directory

每当组织内的用户或服务标识编辑项目状态时,将发生审核更改。 你可能会看到为以下任一事件记录的事件:

  • 权限更改
  • 已删除的资源
  • 分支策略更改
  • 审核日志访问和下载
  • 还有更多...

事件将存储 90 天,之后将其删除。 但是,可以将审核事件备份到外部位置,使数据保留时间超过 90 天。

可以通过组织中的“审核”页上的两种方法访问审核事件设置:

  • 通过主“日志”选项卡下的“审核日志”,以及
  • 通过“ ”选项卡设置的任何审核流。

注意

审核不适用于Azure DevOps Server的本地部署。 可以将审核流从Azure DevOps Services实例连接到本地或基于云的 Splunk 实例,但必须确保允许入站连接的 IP 范围。 有关详细信息,请参阅 允许的地址列表和网络连接、IP 地址和范围限制

必备知识

默认情况下,所有Azure DevOps Services组织的审核都处于关闭状态,组织所有者和Project组织设置页面中的集合管理员可以打开和关闭审核。 默认情况下,Project集合管理员是唯一有权访问审核功能的组。

审核权限

  • 默认情况下,组织所有者Project集合管理员组的成员对所有审核功能具有完全访问权限。
  • 可以通过组织设置中的“安全权限”页向任何组授予特定的审核权限。

注意

如果为组织启用了“将用户可见性和协作限制为特定项目预览”功能,则添加到Project范围内的用户组的用户无法查看审核,并且对“组织设置”页面具有有限的可见性。 若要了解详细信息,请参阅 “管理组织”,限制项目的用户可见性等

启用和禁用审核

  1. 登录到组织 (https://dev.azure.com/{yourorganization}) 。

  2. 选择“ gear icon组织设置”。

  3. “安全”标头下选择“策略”。

  4. 打开 “日志审核事件 ”按钮。

    Screenshot of Auditing policy enabled.

现在,组织将启用审核。 可能需要刷新页面才能看到 审核 显示在边栏中。 审核事件将开始显示在审核日志上,以及通过配置的任何审核流。

  1. 如果不再想要接收审核事件,请将 “启用审核 ”按钮切换为 OFF。 关闭按钮后, “审核 ”页将不再显示在边栏中,“审核日志”页将不可用。 任何审核流都将停止接收事件。

访问审核

  1. 登录到组织 (https://dev.azure.com/{yourorganization}) 。

  2. 选择“ gear icon组织设置”。

    Open Organization settings

  3. 选择 “审核”。

    Auditing preview page

  4. 如果在“组织”设置中看不到“审核”,则无权查看审核事件。 Project集合管理员组可以向其他用户和组授予权限,以便他们可以查看审核页面。 为此,请选择 “权限”,然后查找组或用户以提供审核访问权限。

    Screenshot of highlighted Permissions tab.

  5. “查看审核日志 ”设置为 允许,然后选择“ 保存更改”。

    Screenshot of Auditing access permission preview.

用户或组成员现在有权查看组织的审核事件。

查看审核日志

“审核”页提供了对组织记录的审核事件的简单视图。 请参阅审核页上可见信息的以下说明:

审核事件信息和详细信息

信息 详细信息
Actor 触发审核事件的个人的显示名称。
IP 触发审核事件的个人的 IP 地址。
时间戳 已触发事件发生的时间。 时间本地化为你所在的时区。
区域 Azure DevOps 中发生事件的产品区域。
类别 (发生的操作类型的说明,例如,修改、重命名、创建、删除、删除、执行和访问事件) 。
详细信息 简要描述事件期间发生的情况。

每个审核事件还记录审核页面上可查看内容的附加信息。 此信息包括身份验证机制、关联 ID,用于将类似事件链接到一起、用户代理和更多数据,具体取决于审核事件类型。 只能通过 CSV 或 JSON 导出审核事件来查看此信息。

ID & 相关 ID

每个审核事件都有名为“ID”和“CorrelationID”的唯一标识符。 相关 ID 有助于查找相关的审核事件。 例如,创建的项目可以生成几十个审核事件。 可以将这些事件链接在一起,因为它们都具有相同的关联 ID。

当审核事件 ID 与其关联 ID 匹配时,它指示审核事件是父事件或原始事件。 若要查看仅原始事件,请查找相关事件,其中“ID”等于相关 ID。 然后,如果要调查事件及其相关事件,可以使用与原始事件的 ID 匹配的相关 ID 查找所有事件。 并非所有事件都有相关的事件。

批量事件

某些审核事件可以包含一次发生的多个操作,也称为“批量审核事件”。 可以使用事件最右侧的“信息图标”将这些事件与其他人区分开来。 可以通过下载的审核数据查找批量审核事件中包含的操作的单独详细信息。

Auditing more information icon

选择信息图标会显示有关此审核事件中发生的情况的其他信息。

浏览审核事件时,可能会发现感兴趣的 类别 列和 区域 列。 通过这些列,可以筛选仅查找感兴趣的事件类型。 下表列出了类别和区域及其说明:

事件列表

我们尽力每月添加新的审核事件。 如果希望看到当前未跟踪的事件,请考虑在开发者社区与我们共享该事件。

有关当前可以通过审核功能发出的所有事件的完整列表,请参阅 审核事件列表

注意

想要了解组织记录哪些事件区域? 请务必签出 审核日志查询 APIhttps://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions将 {YOUR_ORGANIZATION} 替换为组织的名称。 此 API 返回组织可以发出的所有审核事件 (或) 操作的列表。

按日期和时间筛选审核日志

在当前的审核 UI 中,只能按日期或时间范围筛选事件。 若要按日期范围缩小可查看的审核事件范围,请选择页面右上角的时间筛选器。

Auditing entry filter by date & time

使用筛选器选择过去 90 天内的任何时间范围,并将范围缩小到分钟。 选择时间范围后,选择时间范围选择器以开始搜索。 默认情况下,返回前 200 个结果以供该时间选择。 如果有更多结果,则可以向下滚动以将其加载到页面上。

导出审核事件

若要对审核数据执行更详细的搜索或存储超过 90 天的数据,需要导出现有审核事件。 然后,导出的数据可以存储在另一个位置或服务中。

选择审核页面右上角的 “下载 ”按钮以导出审核事件。 可以选择下载为 CSV 或 JSON 文件。

选择任一选项将启动下载。 根据在筛选器中选择的时间范围下载事件。 如果选择了一天,则返回一天的数据值。 相反,如果需要所有 90 天,请从时间范围筛选器中选择 90 天,然后开始下载。

注意

若要长期存储和分析审核事件,请考虑使用 审核流功能将事件下游发送到安全信息和事件管理 (SIEM) 工具。 建议导出审核日志进行游标数据分析。

若要按日期/时间范围以上筛选数据,建议将日志下载为 CSV 文件,并将Microsoft Excel或其他 CSV 分析程序导入,以筛选“区域”和“类别”列。 若要分析更大的数据集,我们建议使用 审核流函数将导出的审核事件上传到安全事件和事件管理 (SIEM) 工具。 借助这些工具,可以根据审核事件保留超过 90 天的事件、搜索、生成的报表和配置的警报。

限制

可以审核的内容存在以下限制。

  • Azure Active Directory (Azure AD) 组成员身份更改 - 审核日志包括事件区域为“组”) 时对Azure DevOps组和组成员身份 (的更新。 但是,如果通过 Azure AD 组管理成员身份,则这些日志中的Azure DevOps不会审核这些 Azure AD 组中的用户添加和删除。 查看 Azure AD 审核日志,查看用户或组何时从 Azure AD 组添加或删除。
  • 登录事件 - 我们不会跟踪Azure DevOps的登录事件。 查看 Azure AD 审核日志,查看 Azure AD 的登录事件。

常见问题

问:DirectoryServiceAddMember 组是什么,为什么它出现在审核日志上?

答:DirectoryServiceAddMember 组是一个系统组,用于帮助管理Azure DevOps组织的成员身份。 此系统组的成员身份可能会受到许多系统、用户和管理操作的影响。 由于此组是仅用于内部进程的系统组,因此客户可以忽略捕获对此组的成员身份更改的审核日志条目。