Partager via


Accès, export et filtrage des journaux d’audit

Azure DevOps Services

Notes

L’audit est toujours en préversion publique.

Dans la page Audit des paramètres de votre organisation, vous pouvez accéder aux journaux d’audit, les exporter et les filtrer, qui suivent les nombreuses modifications qui se produisent dans vos organization Azure DevOps. Avec ces journaux, vous pouvez les utiliser pour répondre aux objectifs de conformité et de gouvernance de votre organization.

Important

L’audit est disponible seulement pour les organisations qui s’appuient sur Microsoft Entra ID. Si vous souhaitez obtenir plus d’informations, consultez Connecter votre organisation à Microsoft Entra ID.

Les modifications d’audit se produisent chaque fois qu’une identité d’utilisateur ou de service au sein du organization modifie l’état d’un artefact. Vous pouvez voir des événements enregistrés pour l’une des occurrences suivantes :

  • modifications des autorisations
  • ressources supprimées
  • Modifications de stratégie de branche
  • audit de l’accès aux journaux et des téléchargements
  • et bien plus encore...

Les événements sont stockés pendant 90 jours, après quoi ils sont supprimés. Toutefois, vous pouvez sauvegarder les événements d’audit dans un emplacement externe pour conserver les données plus de 90 jours.

Les événements d’audit sont accessibles par le biais de deux méthodes dans la page Audit dans les paramètres de votre organisation :

  • Via les journaux d’audit disponibles sous l’onglet Journaux d’main, et
  • via tous les flux d’audit configurés via l’onglet Flux.

Notes

L’audit n’est pas disponible pour les déploiements locaux de Azure DevOps Server. Il est possible de connecter un flux d’audit d’un Azure DevOps Services instance à un instance de Splunk local ou cloud, mais vous devez vous assurer d’autoriser les plages d’adresses IP pour les connexions entrantes. Pour plus d’informations, consultez Listes d’adresses et connexions réseau autorisées, Adresses IP et restrictions de plage.

Prérequis

L’audit est désactivé par défaut pour toutes les organisations Azure DevOps Services et peut être activé et désactivé par organization propriétaires et administrateurs de collection de projets dans la page Paramètres de l’organisation. Par défaut, les administrateurs de collection de projets sont le seul groupe qui dispose d’un accès total à la fonctionnalité d’audit.

Autorisations d’audit

  • Par défaut, les membres des groupes Propriétaires organization et Administrateurs de collection de projets ont un accès complet à toutes les fonctionnalités d’audit.
  • Des autorisations d’audit spécifiques peuvent être accordées à n’importe quel groupe via la page Autorisations de sécurité dans Paramètres de l’organisation.

Notes

Si la fonctionnalité d’aperçu Limiter la visibilité et la collaboration des utilisateurs à des projets spécifiques est activée pour le organization, les utilisateurs ajoutés au groupe Utilisateurs dans l’étendue du projet ne peuvent pas afficher l’audit et ont une visibilité limitée sur les pages de paramètres de l’organisation. Pour plus d’informations et des mentions importantes relatives à la sécurité, consultez Gérer vos organization, Limiter la visibilité des utilisateurs pour les projets, etc.

Activer et désactiver l’audit

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez l’icône d’engrenage Paramètres de l’organisation.

  3. Sélectionnez Stratégies sous l’en-tête Sécurité .

  4. Activez le bouton Événements d’audit du journal ACTIVÉ.

    Capture d’écran de la stratégie d’audit activée.

L’audit est désormais activé pour le organization. Vous devrez peut-être actualiser la page pour voir l’audit apparaître dans la barre latérale. Les événements d’audit commencent à apparaître dans les journaux d’audit et via tous les flux d’audit qui ont été configurés.

  1. Si vous ne souhaitez plus recevoir d’événements d’audit, basculez le bouton Activer l’audit sur OFF. Lorsque le bouton est désactivé, la page Audit n’apparaît plus dans la barre latérale et la page Journaux d’audit n’est plus disponible. Tous les flux d’audit cesseront de recevoir des événements.

Audit d’accès

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez l’icône d’engrenage Paramètres de l’organisation.

    Capture d’écran montrant le bouton Paramètres de l’organisation en surbrillance.

  3. Sélectionnez Audit.

    Page d’aperçu de l’audit

  4. Si vous ne voyez pas Audit dans les paramètres de l’organisation, vous n’avez pas accès à l’affichage des événements d’audit. Le groupe Administrateurs de collection de projets peut accorder des autorisations à d’autres utilisateurs et groupes afin qu’ils puissent afficher les pages d’audit. Pour ce faire, sélectionnez Autorisations, puis recherchez le ou les utilisateurs auxquels fournir l’accès à l’audit.

    Capture d’écran de l’onglet Autorisations en surbrillance.

  5. Définissez Afficher le journal d’audit sur autoriser, puis sélectionnez Enregistrer les modifications.

    Capture d’écran de la préversion de l’autorisation d’accès audit.

L’utilisateur ou les membres du groupe auront désormais accès à l’affichage des événements d’audit de votre organization.

Examiner le journal d’audit

La page Audit fournit une vue simple des événements d’audit enregistrés pour votre organization. Consultez la description suivante des informations visibles sur la page d’audit :

Informations et détails de l’événement d’audit

Information Détails
Acteur Nom complet de la personne qui a déclenché l’événement d’audit.
IP Adresse IP de la personne qui a déclenché l’événement d’audit.
Timestamp Heure à laquelle l’événement a été déclenché. L’heure est localisée dans votre fuseau horaire.
Domaine Zone produit dans Azure DevOps où l’événement s’est produit.
Category Description du type d’action qui s’est produit (par exemple, modifier, renommer, créer, supprimer, supprimer, exécuter et accéder à l’événement).
Détails Brève description de ce qui s’est passé pendant l’événement.

Chaque événement d’audit enregistre également des informations supplémentaires sur ce qui est visible sur la page d’audit. Ces informations incluent le mécanisme d’authentification, un ID de corrélation pour lier des événements similaires, un agent utilisateur et d’autres données en fonction du type d’événement d’audit. Ces informations peuvent uniquement être consultées en exportant les événements d’audit via CSV ou JSON.

ID & ID de corrélation

Chaque événement d’audit a des identificateurs uniques appelés « ID » et « CorrelationID ». L’ID de corrélation est utile pour trouver des événements d’audit connexes. Par exemple, un projet créé peut générer plusieurs douzaines d’événements d’audit. Vous pouvez lier ces événements ensemble, car ils ont tous le même ID de corrélation.

Lorsqu’un ID d’événement d’audit correspond à son ID de corrélation, il indique que l’événement d’audit est l’événement parent ou d’origine. Pour voir uniquement les événements d’origine, recherchez les événements où « ID » est égal à l'« ID de corrélation » en question. Ensuite, si vous souhaitez examiner un événement et ses événements associés, vous pouvez rechercher tous les événements avec un ID de corrélation qui correspond à l’ID de l’événement d’origine. Tous les événements n’ont pas d’événements associés.

Événements en bloc

Certains événements d’audit peuvent contenir plusieurs actions qui ont eu lieu à la fois, également appelées « événements d’audit en bloc ». Vous pouvez distinguer ces événements des autres avec une « icône d’informations » à l’extrême droite de l’événement. Vous trouverez des détails individuels sur les actions incluses dans les événements d’audit en bloc via les données d’audit téléchargées.

Icône Auditer plus d’informations

La sélection de l’icône d’informations affiche des informations supplémentaires sur ce qui s’est passé dans cet événement d’audit.

Lorsque vous examinez les événements d’audit, vous pouvez trouver les colonnes Category et Area qui vous intéressent. Ces colonnes vous permettent de passer au crible pour trouver uniquement les types d’événements qui vous intéressent. Les tableaux suivants sont une liste de catégories et de zones, ainsi que leurs descriptions :

Liste des événements

Nous faisons de notre mieux pour ajouter de nouveaux événements d’audit tous les mois. Si vous souhaitez voir un événement qui n’est pas suivi actuellement, envisagez de le partager avec nous dans le Developer Community.

Pour obtenir la liste complète de tous les événements que nous pouvons actuellement émettre via la fonctionnalité d’audit, consultez la liste des événements d’audit.

Notes

Vous souhaitez savoir quelles zones d’événements vos journaux d’organization ? Veillez à case activée l’API de requête de journal d’audit : https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, en remplaçant {YOUR_ORGANIZATION} par le nom de votre organization. Cette API retourne une liste de tous les événements d’audit (ou actions) que votre organization peut émettre.

Filtrer le journal d’audit par date et heure

Dans l’interface utilisateur d’audit actuelle, vous ne pouvez filtrer les événements qu’en fonction d’une plage de dates ou d’heures. Pour limiter les événements d’audit visibles par une plage de dates, sélectionnez le filtre d’heure en haut à droite de la page.

Filtre d’entrée d’audit par date et heure

Utilisez les filtres pour sélectionner n’importe quelle plage de temps au cours des 90 derniers jours et la limiter à la minute. Une fois que vous avez sélectionné un intervalle de temps, sélectionnez Appliquer sur l’intervalle de temps sélecteur pour démarrer la recherche. Par défaut, les 200 premiers résultats sont retournés pour cette sélection. S’il y a plus de résultats, vous pouvez faire défiler vers le bas pour les charger sur la page.

Exporter des événements d’audit

Pour effectuer une recherche plus détaillée sur les données d’audit ou stocker des données pendant plus de 90 jours, vous devez exporter les événements d’audit existants. Les données exportées peuvent ensuite être stockées dans un autre emplacement ou service.

Sélectionnez le bouton Télécharger en haut à droite de la page d’audit pour exporter les événements d’audit. Vous pouvez choisir de télécharger en tant que fichier CSV ou JSON.

La sélection de l’une ou l’autre option démarre le téléchargement. Les événements sont téléchargés en fonction de l’intervalle de temps que vous avez sélectionné dans le filtre. Si vous avez sélectionné un jour, vous obtenez la valeur d’un jour de données retournées. Transversalement, si vous souhaitez tous les 90 jours, sélectionnez 90 jours dans le filtre d’intervalle de temps, puis démarrez le téléchargement.

Notes

Pour le stockage et l’analyse à long terme de vos événements d’audit, envisagez d’envoyer vos événements en aval à un outil SIEM (Security Information and Event Management) à l’aide de la fonctionnalité Audit Streaming. L’exportation des journaux d’audit est recommandée pour l’analyse des données curseur.

Pour filtrer les données d’une valeur supérieure à la plage de dates/heures, nous vous recommandons de télécharger les journaux sous forme de fichiers CSV et d’importer Microsoft Excel ou d’autres analyseurs CSV pour passer au crible les colonnes Zone et Catégorie. Pour une analyse sur des jeux de données encore plus volumineux, nous vous recommandons de charger des événements d’audit exportés dans un outil SIEM (Security Incident and Event Management) à l’aide de la fonction Audit Streaming. Ces outils vous permettent de conserver plus de 90 jours d’événements, de recherches, de rapports générés et d’alertes configurées en fonction des événements d’audit.

Limites

Les limitations suivantes existent pour ce qui peut être audité.

  • Modifications de l’appartenance au groupe Microsoft Entra : les journaux d’audit incluent les mises à jour des groupes Azure DevOps et l’appartenance au groupe (lorsqu’une zone d’événement est « Groupes »). Toutefois, si vous gérez l’appartenance via des groupes Microsoft Entra, ces ajouts et suppressions d’utilisateurs de ces groupes Microsoft Entra ne sont pas audités par Azure DevOps dans ces journaux. Passez en revue les journaux d’audit Microsoft Entra pour voir quand un utilisateur ou un groupe a été ajouté ou supprimé d’un groupe Microsoft Entra.
  • Événements de connexion : nous ne suivons pas les événements de connexion pour Azure DevOps. Affichez les journaux d’audit Microsoft Entra pour passer en revue les événements de connexion à votre ID Microsoft Entra.

Forum aux questions

Q : Qu’est-ce que le groupe DirectoryServiceAddMember et pourquoi s’affiche-t-il dans le journal d’audit ?

R : Le groupe DirectoryServiceAddMember est un groupe système utilisé pour faciliter la gestion de l’appartenance à votre organization Azure DevOps. L’appartenance à ce groupe système peut être affectée par de nombreuses actions système, utilisateur et administrative. Comme ce groupe est un groupe système utilisé uniquement pour les processus internes, les clients peuvent ignorer les entrées de journal d’audit qui capturent les modifications d’appartenance à ce groupe.