Azure DevOps Services
注意
审核仍处于公共预览状态。
跟踪 Azure DevOps 环境中的活动对于安全性和合规性至关重要。 审核可以帮助你监视和记录这些活动,从而提供透明度和问责制。 本文介绍审核功能,并演示如何设置和有效地使用它。
重要说明
审核仅适用于 Microsoft Entra ID 支持的组织。 有关详细信息,请参阅将组织连接到 Microsoft Entra ID。
每当组织内的用户或服务标识编辑项目的状态时,将发生审核更改。 可能记录的事件包括:
- 权限更改
- 已删除的资源
- 分支策略更改
- 日志访问和下载
- 许多其他类型的更改
这些日志提供全面的活动记录,帮助你监视和管理 Azure DevOps 组织的安全性和合规性。
审核事件在删除前会存储 90 天。 为了更长时间地保留数据,可以将审核事件备份到外部位置。
注意
审核不适用于 Azure DevOps 的本地部署。 但是,可以将来自 Azure DevOps Services 实例的审核流连接到 Splunk 的本地或基于云的实例。 确保允许入站连接的 IP 范围。 有关详细信息,请参阅 允许的地址列表和网络连接、IP 地址和范围限制。
先决条件
默认情况下,所有 Azure DevOps Services 组织的审核功能均已关闭。 确保只有经过授权的人员才能访问敏感的审核信息。
| 类别 | 要求 |
|---|---|
| 权限 | “项目集合管理员”组的成员。 组织所有者自动是此组的成员。 或者每个用户或组的以下审核权限(设置为“允许”): - 管理审核流 - 查看审核日志 PCA 可以向任何用户或组授予这些权限来管理组织流,包括 删除审核流。 |
注意
如果为组织启用了“将用户可见性和协作限制在特定项目上”预览功能,则“项目范围内的用户”组中的用户将无法查看“审核”,并且只能查看“组织设置”页面。 有关详细信息和与安全相关的重要详细信息,请参阅限制项目对用户的可见性等。
启用和禁用审核
登录组织 (
https://dev.azure.com/{yourorganization})。选择
组织设置。选择“安全”标头下的“策略”。
将“日志审核事件”按钮切换到“打开”。
为组织启用审核。 刷新页面,看到边栏出现“审核”。 审核事件开始出现在审核日志中,并通过任何配置的审核流。
如果不再想要接收审核事件,请将“启用审核”按钮切换为“关闭”。 此操作从边栏中删除“审核”页,并使“审核日志”页不可用。 任何审核流都停止接收事件。
访问审核
登录组织 (
https://dev.azure.com/{yourorganization})。选择
组织设置。
选择“ 审核”。
如果在“组织设置”中看不到“审核”,则表示你无权查看审核事件。 项目集合管理员组可以向其他用户和组授予权限,以便他们可以查看审核页面。 为此,请选择“ 权限”,然后查找要提供审核访问权限的组或用户。
将 “查看审核日志 ”设置为 “允许”,然后选择“ 保存更改”。
用户或组成员有权查看组织的审核事件。
审查审核日志
“审核”页提供为组织记录的审核事件的简单视图。 请参阅审核页上可见信息的以下说明:
审核事件信息和详细信息
| 信息 | Details |
|---|---|
| Actor | 触发审核事件的个人的显示名称。 |
| IP | 触发审核事件的个人的 IP 地址。 |
| 时间戳 | 已触发事件发生的时间。 时间本地化为你所在的时区。 |
| Area | Azure DevOps 中发生事件的产品区域。 |
| 类别 | (发生的操作类型的说明,例如,修改、重命名、创建、删除、删除、执行和访问事件) 。 |
| Details | 简要描述事件期间发生的情况。 |
每个审核事件还记录审核页面上可查看内容的附加信息。 此信息包括身份验证机制、将类似事件链接在一起的相关 ID、用户代理,以及更多数据,具体取决于审核事件类型。 只能通过 CSV 或 JSON 导出审核事件来查看此信息。
ID & 相关 ID
每个审核事件都有唯一的标识符,称为 ID 和 CorrelationID。 关联 ID 可用于查找相关的审核事件。 例如,创建一个项目可以生成几十个审核事件,所有这些事件都由相同的关联 ID 链接。
当审核事件 ID 与其相关 ID 匹配时,它指示审核事件是父事件或原始事件。 若要仅查看原始事件,请查找 ID 等于 Correlation ID 的事件。 如果要调查一个事件及其相关事件,请使用与原始事件 ID 匹配的关联 ID 查找所有事件。 并非所有事件都有相关事件。
批量事件
某些审核事件(称为“批量审核事件”)可以包含同时发生的多个操作。 可以通过事件最右侧的“信息图标”标识这些事件。 若要查看批量审核事件中包含的操作的各个详细信息,请参阅下载的审核数据。
选择信息图标会显示有关审核事件的更多详细信息。
查看审核事件时,“类别”和“区域”列可以帮助你筛选和查找特定类型的事件。 下表列出了类别和区域及其说明:
事件列表
我们努力每月添加新的审核事件。 如果有您希望跟踪但当前不可用的事件,请在 开发人员社区中向我们分享您的建议。
有关可通过审核功能发出的所有事件的完整列表,请参阅审核事件列表。
注意
想要了解你的组织记录哪些事件区域? 请务必检查审核日志查询 API:https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions,将 {YOUR_ORGANIZATION} 替换为组织的名称。 此 API 返回组织可能发出的所有审核事件 (或) 操作的列表。
按日期和时间筛选审核日志
在当前的审核 UI 中,只能按日期或时间范围筛选事件。
若要缩小可查看的审核事件范围,请选择时间筛选器。
使用筛选器选择过去 90 天内的任何时间范围,并将其范围缩小到分钟。
在时间范围选择器上选择“应用”以开始搜索。 默认情况下,返回该时间选择的前 200 个结果。 如果有更多结果,可以向下滚动以将更多条目加载到页面上。
导出审核事件
若要对审核数据执行更详细的搜索或存储超过 90 天的数据,请导出现有的审核事件。 可以将导出的数据存储在其他位置或服务中。
若要导出审核事件,请选择“下载”按钮。 可以选择将数据下载为 CSV 或 JSON 文件。
下载包括基于你在筛选器中选择的时间范围的事件。 例如,如果选择一天,则将获得一天的数据。 若要获取全部 90 天,请从时间范围筛选器中选择 90 天,然后开始下载。
注意
要对审核事件进行长期存储和分析,请考虑使用审核流式处理功能将事件发送到安全信息和事件管理 (SIEM) 工具。 建议导出审核日志进行粗略的数据分析。
- 若要筛选超出日期/时间范围的数据,请将日志下载为 CSV 文件,并将其导入 Microsoft Excel 或其他 CSV 分析器中,以筛选“区域”和“类别”列。
- 若要分析较大的数据集,请使用审核流函数将导出的审核事件上传到安全事件和事件管理 (SIEM) 工具。 SIEM 工具允许你保留超过 90 天的事件,执行搜索,生成报告,并根据审核事件配置警报。
限制
以下限制适用于可审核的内容:
- Microsoft Entra 组成员资格更改:当事件区域
Groups时,审核日志包括对 Azure DevOps 组和组成员资格的更新。 但是,如果通过 Microsoft Entra 组管理成员资格,则这些日志中不包括从这些 Microsoft Entra 组添加和删除用户。 查看 Microsoft Entra 审核日志,以查看何时从 Microsoft Entra 组中添加或删除用户或组。 - 登录事件:Azure DevOps 不跟踪登录事件。 若要查看 Microsoft Entra ID 的登录事件,请查看 Microsoft Entra 审核日志。
- 间接用户添加: 在某些情况下,用户可能会被间接添加到组织中,并显示在 Azure DevOps Services 添加的审核日志中。 例如,如果用户被分配到一个工作项,他们可能会被自动添加到组织中。 当为要添加的用户生成审核事件时,没有相应的审计事件用于触发用户添加的工作项分配。 若要跟踪这些事件,请考虑以下操作:
- 查看相应时间戳的工作项历史记录,以查看是否将此用户分配给任何工作项。
- 检查审核日志,查找可能提供上下文的任何相关事件。
常见问题
问:什么是 DirectoryServiceAddMember 组,为什么它出现在审核日志上?
答:DirectoryServiceAddMember 组有助于管理组织中的成员资格。 许多系统、用户和管理操作都会影响此系统组的成员资格。 由于此组仅用于内部流程,因此可以忽略捕获此组成员资格更改的审核日志条目。