存取、匯出及篩選稽核記錄
Azure DevOps Services
注意
稽核仍處於公開預覽狀態。
在 [組織設定] 的 [稽核] 頁面上,您可以存取、匯出和篩選稽核記錄,以追蹤 Azure DevOps 組織內發生的許多變更。 透過這些記錄,您可以使用它們來符合組織的合規性和治理目標。
重要
稽核僅適用於受 Microsoft Entra ID 支援的組織。 如需詳細資訊,請參閱 將組織連線到 Microsoft Entra ID.
每當組織內的用戶或服務身分識別編輯成品的狀態時,就會進行稽核變更。 您可能會看到針對下列任何一個項目記錄的事件:
- 許可權變更
- 已刪除的資源
- 分支原則變更
- 稽核記錄存取和下載
- 還有更多...
事件會儲存 90 天,之後就會予以刪除。 不過,您可以將稽核事件備份到外部位置,以將資料保留超過 90 天的期間。
您可以透過組織設定中[稽核] 頁面上的兩種方法存取稽核事件:
- 透過 [主要記錄] 索引標籤下的 [稽核記錄] ,以及
- 透過透過 [ 串流] 索引標籤設定的任何稽核數據流 。
注意
稽核不適用於 Azure DevOps Server 的內部部署。 您可以將稽核串流從 Azure DevOps Services 實例連線到內部部署或雲端式 Splunk 實例,但您必須確定允許輸入連線的 IP 範圍。 如需詳細資訊,請參閱 允許的位址清單和網路連線、IP 位址和範圍限制。
必要條件
根據預設,所有 Azure DevOps Services 組織的稽核都會關閉,組織擁有者和專案集合管理員可以在 [組織設定] 頁面中切換和關閉。 根據預設,Project Collection Administrators 是唯一具有稽核功能完整存取權的群組。
稽核權限
- 根據預設,組織擁有者和專案集合系統管理員群組的成員具有所有稽核功能的完整存取權。
- 您可以透過 [組織設定] 中的 [安全性許可權] 頁面,將特定稽核許可權授與任何群組。
注意
如果已為組織啟用 [限制使用者可見度和共同作業至特定專案預覽功能] ,則新增至 [專案範圍使用者] 群組的使用者無法檢視稽核,而且對 [組織設定] 頁面的可見度有限。 如需詳細資訊和重要的安全性相關提及,請參閱 管理您的組織、限制專案的用戶可見度等等。
啟用和停用稽核
登入您的組織 (
https://dev.azure.com/{yourorganization}
)。選取 [組織設定]。
選取 [安全性] 標頭底下的 [原則]。
切換 [ 記錄稽核事件 ] 按鈕開啟。
組織現在會啟用稽核。 您可能需要重新整理頁面,才能看到 [稽核 ] 出現在提要字段中。 稽核事件將會開始出現在稽核記錄上,以及透過任何已設定的稽核數據流。
- 如果您不想再收到稽核事件,請將 [ 啟用稽核 ] 按鈕切換為 [關閉]。 關閉按鈕時, [稽核] 頁面將不再出現在提要欄中,而且 [稽核記錄] 頁面將無法使用。 任何稽核數據流都會停止接收事件。
存取稽核
登入您的組織 (
https://dev.azure.com/{yourorganization}
)。選取 [組織設定]。
選取 [ 稽核]。
如果您沒有在組織設定中看到稽核,則無法檢視稽核事件。 Project Collection Administrators 群組可以授與其他使用者和群組的許可權,讓他們可以檢視稽核頁面。 若要這樣做,請選取 [ 許可權],然後尋找群組或使用者以提供稽核存取權。
將 [檢視稽核記錄] 設定為允許,然後選取 [儲存變更]。
使用者或群組成員現在將有權檢視組織的稽核事件。
檢閱稽核記錄
[稽核] 頁面提供您組織所記錄稽核事件的簡單檢視。 請參閱下列稽核頁面上可見資訊的描述:
稽核事件信息和詳細數據
資訊 | 詳細資料 |
---|---|
Actor | 觸發稽核事件的個人顯示名稱。 |
IP | 觸發稽核事件的個人 IP 位址。 |
時間戳記 | 觸發事件的發生時間。 時間會當地語系化為您的時區。 |
區域 | 發生事件的 Azure DevOps 產品區域。 |
類別 | 所發生動作類型的描述(例如,修改、重新命名、建立、刪除、移除、執行和存取事件)。 |
詳細資料 | 簡短描述事件發生的狀況。 |
每項稽核事件也會在 [稽核] 頁面的可檢視內容中記錄其他資訊。 此資訊包括驗證機制、相互關聯標識碼,可根據稽核事件類型,將類似事件連結在一起、使用者代理程式和更多數據。 這項資訊只能透過匯出 CSV 或 JSON 稽核事件來檢視。
標識碼和相互關聯標識碼
每個稽核事件都有稱為 「ID」 和 「CorrelationID」 的唯一識別碼。 相互關聯標識碼有助於尋找相關的稽核事件。 例如,建立的專案可以產生數十個稽核事件。 您可以將這些事件連結在一起,因為它們都有相同的相互關聯標識碼。
當稽核事件標識碼符合其相互關聯標識符時,表示稽核事件是父事件或原始事件。 若要查看原始事件,請尋找 「ID」 等於有問題的「相互關聯標識碼」的事件。 然後,如果您想要調查事件及其相關事件,您可以使用符合原始事件標識碼的相互關聯標識碼來查閱所有事件。 並非所有事件都有相關的事件。
大量事件
某些稽核事件可以包含一次發生的多個動作,也稱為「大量稽核事件」。 您可以將這些事件與其他人區別為事件最右邊的「資訊圖示」。 您可以透過下載的稽核數據,找到大量稽核事件中包含的動作個別詳細數據。
選取資訊圖示會顯示此稽核事件中所發生狀況的其他資訊。
當您查看稽核事件時,您可能會發現感興趣的 [類別] 和 [區域] 資料行。 這些數據行可讓您篩選,只尋找您感興趣的事件類型。 下表是類別和區域的清單,以及其描述:
事件清單
我們盡最大努力每月新增稽核事件。 如果您想要查看目前未追蹤的事件,請考慮在 開發人員社群 中與我們共用該事件。
如需我們目前可透過稽核功能發出之所有事件的完整清單,請參閱 稽核事件清單。
注意
想要瞭解您的組織記錄哪些事件區域? 請務必簽出稽 核記錄查詢 API: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions
,並將 {YOUR_ORGANIZATION} 取代為您的組織名稱。 此 API 會傳回組織可發出的所有稽核事件(或動作)清單。
依日期和時間篩選稽核記錄
在目前的稽核 UI 中,您只能依日期或時間範圍篩選事件。 若要依日期範圍縮小可檢視的稽核事件範圍,請選取頁面右上方的時間篩選。
使用篩選條件來選取過去 90 天內的任何時間範圍,並將範圍縮小到分鐘。 選取時間範圍之後,請選取 [在時間範圍選取器上套用] 以開始搜尋。 根據預設,系統會針對該時間選取傳回前 200 個結果。 如果有更多結果,您可以向下捲動以將結果載入頁面。
匯出稽核事件
若要對稽核數據或儲存超過 90 天的數據進行更詳細的搜尋,您必須導出現有的稽核事件。 然後,導出的數據可以儲存在另一個位置或服務中。
選取 稽核頁面右上方的 [下載 ] 按鈕,以匯出稽核事件。 您可以選擇下載為 CSV 或 JSON 檔案。
選取任一選項會啟動下載。 事件會根據您在篩選中選取的時間範圍來下載。 如果您選取了一天,則會傳回一天的數據。 相反地,如果您想要全部 90 天,請從時間範圍篩選選取 90 天,然後開始下載。
注意
若要長期儲存和分析稽核事件,請考慮使用 稽核串流功能,將事件下游傳送至安全性資訊和事件管理 (SIEM) 工具。 建議匯出稽核記錄以進行數據指標數據分析。
若要依日期/時間範圍篩選數據,建議您下載記錄檔作為 CSV 檔案,並匯入Microsoft Excel 或其他 CSV 剖析器,以篩選區域和類別數據行。 如需更大型數據集的分析,建議您使用 稽核串流函式,將導出的稽核事件上傳至安全性事件和事件管理 (SIEM) 工具。 這類工具可讓您根據稽核事件保留超過90天的事件、搜尋、產生的報告,以及設定警示。
限制
下列限制適用於可稽核的內容。
- Microsoft Entra 群組成員資格變更 – 稽核記錄包含 Azure DevOps 群組和群組成員資格的更新(當事件區域為「群組」時)。 不過,如果您透過 Microsoft Entra 群組管理成員資格,這些記錄中的 Azure DevOps 不會稽核這些Microsoft Entra 群組中的使用者新增和移除。 檢閱Microsoft Entra 稽核記錄,以查看使用者或群組何時從Microsoft Entra 群組新增或移除。
- 登入事件 – 我們不會追蹤 Azure DevOps 的登入事件。 檢視Microsoft Entra 稽核記錄,以檢閱登入事件至您的Microsoft Entra ID。
常見問題集
問:什麼是 DirectoryServiceAddMember 群組,以及它為何出現在稽核記錄檔上?
答:DirectoryServiceAddMember 群組是用來協助管理 Azure DevOps 組織成員資格的系統群組。 此系統群組的成員資格可能會受到許多系統、用戶和系統管理動作的影響。 由於此群組是僅用於內部程式的系統群組,客戶可以忽略擷取此群組成員資格變更的稽核記錄專案。