Denetim günlüklerini dışarı aktarma, filtreleme ve erişme

  • Makale

Azure DevOps Services

Not

Denetim hala genel önizleme aşamasındadır.

Azure DevOps ortamınızdaki etkinlikleri izlemek, güvenlik ve uyumluluk açısından çok önemlidir. Denetim, saydamlık ve sorumluluk sağlayarak bu etkinlikleri izlemenize ve günlüğe kaydetmenize yardımcı olur. Bu makalede denetim özellikleri açıklanır ve nasıl ayarlanacağı ve etkili bir şekilde nasıl kullanılacağı gösterilir.

Önemli

Denetim yalnızca Microsoft Entra Id tarafından yedeklenen kuruluşlarda kullanılabilir. Daha fazla bilgi için bkz . Kuruluşunuzu Microsoft Entra Id'ye bağlama.

Kuruluştaki bir kullanıcı veya hizmet kimliği yapıtın durumunu her düzenleyişinde denetim değişiklikleri gerçekleşir. Günlüğe kaydedilebilecek olaylar şunlardır:

  • İzin değişiklikleri
  • Silinen kaynaklar
  • Dal ilkesi değişiklikleri
  • Günlük erişimi ve indirmeler
  • Diğer birçok değişiklik türü

Bu günlükler etkinliklerin kapsamlı bir kaydını sağlayarak Azure DevOps kuruluşunuzun güvenliğini ve uyumluluğunu izlemenize ve yönetmenize yardımcı olur.

Denetim olayları silinmeden önce 90 gün boyunca depolanır. Verileri daha uzun süre saklamak için denetim olaylarını bir dış konuma yedekleyebilirsiniz.

Not

Azure DevOps Server'ın şirket içi dağıtımlarında denetim kullanılamaz. Ancak, Azure DevOps Services örneğinden bir Denetim akışını şirket içi veya bulut tabanlı splunk örneğine bağlayabilirsiniz. Gelen bağlantılar için IP aralıklarına izin verdiğinizden emin olun. Ayrıntılar için bkz . İzin verilen adres listeleri ve ağ bağlantıları, IP adresleri ve aralık kısıtlamaları.

Önkoşullar

Denetim, tüm Azure DevOps Services kuruluşları için varsayılan olarak kapalıdır.

İzinler:

  • Denetimi etkinleştirmek için Proje Koleksiyonu Yöneticileri grubunun üyesi olun. Kuruluş sahipleri bu grubun otomatik olarak üyesidir.
  • Kuruluş ayarları'ndaki Güvenlik > İzinleri sayfası aracılığıyla herhangi bir gruba belirli denetim izinleri verin. Bu eylem, denetim günlüklerini kimlerin görüntüleyebileceğini ve yönetebileceğini esnek bir şekilde yöneterek hassas denetim bilgilerine yalnızca yetkili personelin erişebilmesini sağlar.

Not

Kuruluş için Belirli projelerde kullanıcı görünürlüğünü ve işbirliğini sınırla önizleme özelliği etkinleştirildiyse, Proje Kapsamlı Kullanıcılar grubundaki kullanıcılar Denetimi görüntüleyemez ve Kuruluş ayarları sayfalarında sınırlı görünürlüğe sahiptir. Daha fazla bilgi ve güvenlikle ilgili önemli ayrıntılar için bkz . Kuruluşunuzu yönetme, Projeler için kullanıcı görünürlüğünü sınırlama ve daha fazlası.

Denetimi etkinleştirme ve devre dışı bırakma

  1. Kuruluşunuzda oturum açın (https://dev.azure.com/{yourorganization}).

  2. Kuruluş ayarları'nı seçin dişli simgesi .

  3. Güvenlik üst bilgisi altında İlkeler'i seçin.

  4. Denetim Olaylarını Günlüğe Kaydet düğmesini AÇI olarak değiştirin.

    Denetim ilkesinin etkinleştirildiğinin ekran görüntüsü.

    Denetim kuruluş için etkinleştirilir. Kenar çubuğunda Denetim'in gösterildiğini görmek için sayfayı yenileyin. Denetim olayları Denetim Günlükleri'nde ve yapılandırılmış denetim akışları aracılığıyla görünmeye başlar.

  5. Artık Denetim olaylarını almak istemiyorsanız, Denetimi Etkinleştir düğmesini KAPALI olarak değiştirin. Bu eylem, Denetim sayfasını kenar çubuğundan kaldırır ve Denetim Günlükleri sayfasını kullanılamaz duruma getirir. Tüm denetim akışları olayları almayı durdurur.

Erişim denetimi

  1. Kuruluşunuzda oturum açın (https://dev.azure.com/{yourorganization}).

  2. Kuruluş ayarları'nı seçin dişli simgesi .

    Vurgulanan Kuruluş ayarları düğmesini gösteren ekran görüntüsü.

  3. Denetim'i seçin.

    Denetim önizleme sayfası

  4. Kuruluş ayarlarında Denetim'i görmüyorsanız, denetim olaylarını görüntüleme erişiminiz yoktur. Proje Koleksiyonu Yöneticileri grubu, denetim sayfalarını görüntüleyebilmeleri için diğer kullanıcılara ve gruplara izin verebilir. Bunu yapmak için İzinler'i seçin ve denetim erişimi sağlayacak grubu veya kullanıcıları bulun.

    Vurgulanan İzinler sekmesinin ekran görüntüsü.

  5. Denetim günlüğünü görüntüle'yi izin verecek şekilde ayarlayın ve ardından Değişiklikleri kaydet'i seçin.

    Erişim izni önizlemesini denetleme işleminin ekran görüntüsü.

    Kullanıcı veya grup üyeleri, kuruluşunuzun denetim olaylarını görüntüleme erişimine sahiptir.

Denetim günlüğünü gözden geçirme

Denetim sayfası, kuruluşunuz için kaydedilen denetim olaylarının basit bir görünümünü sağlar. Denetim sayfasında görünen bilgilerin aşağıdaki açıklamasına bakın:

Olay bilgilerini ve ayrıntılarını denetleme

Bilgi Ayrıntılar
Actor (Oyuncu) Denetim olayını tetikleyen kişinin görünen adı.
IP Denetim olayını tetikleyen kişinin IP adresi.
Zaman damgası Tetiklenen olayın gerçekleştiği zaman. Zaman, saat diliminize göre yerelleştirilir.
Alan Olayın gerçekleştiği Azure DevOps ürün alanı.
Kategori Gerçekleşen eylem türünün açıklaması (örneğin, değiştirme, yeniden adlandırma, oluşturma, silme, kaldırma, yürütme ve erişim olayı).
Ayrıntılar Olay sırasında gerçekleştirilen işlemlerin kısa açıklaması.

Her denetim olayı ayrıca denetim sayfasında görüntülenebilen ek bilgiler kaydeder. Bu bilgiler kimlik doğrulama mekanizmasını, benzer olayları birbirine bağlamak için bir bağıntı kimliğini, kullanıcı aracısını ve denetim olayı türüne bağlı olarak daha fazla veriyi içerir. Bu bilgileri görüntülemek için denetim olaylarını CSV veya JSON biçiminde dışarı aktarmanız gerekir.

Kimlik ve bağıntı kimliği

Her denetim olayının ve CorrelationIDadlı ID benzersiz tanımlayıcıları vardır. Bağıntı kimliği, ilgili denetim olaylarını bulmak için kullanışlıdır. Örneğin, proje oluşturmak, tümü aynı bağıntı kimliğiyle bağlantılı olan birkaç düzine denetim olayı oluşturabilir.

Bir denetim olayı kimliği bağıntı kimliğiyle eşleştiğinde, denetim olayının üst veya özgün olay olduğunu gösterir. Yalnızca kaynak olayları görmek için öğesinin ID değerine eşit Correlation IDolduğu olayları arayın. Bir olayı ve ilgili olayları araştırmak istiyorsanız, kaynak olayın kimliğiyle eşleşen bağıntı kimliğine sahip tüm olayları arayın. Tüm olayların ilgili olayları yoktur.

Toplu olaylar

"Toplu denetim olayları" olarak bilinen bazı denetim olayları aynı anda gerçekleşen birden çok eylem içerebilir. Bu olayları, olayın sağ ucundaki "Bilgi simgesi" ile tanımlayabilirsiniz. Toplu denetim olaylarına dahil edilen eylemlerin tek tek ayrıntılarını görüntülemek için indirilen denetim verilerine bakın.

Daha fazla bilgi denetimi simgesini gösteren ekran görüntüsü.

Bilgi simgesini seçtiğinizde denetim olayı hakkında daha fazla ayrıntı görüntülenir.

Denetim olaylarını gözden geçirirken, Kategori ve Alan sütunları belirli olay türlerini filtrelemenize ve bulmanıza yardımcı olabilir. Aşağıdaki tablolarda kategorilerin ve alanların yanı sıra açıklamaları listelenir:

Olayların listesi

Aylık olarak yeni denetim olayları eklemeye çalışıyoruz. İzlendiğini görmek istediğiniz ve şu anda mevcut olmayan bir olay varsa önerinizi Geliştirici Topluluğu bizimle paylaşın.

Denetim özelliği aracılığıyla yayılabilir tüm olayların kapsamlı bir listesi için bkz . Denetim Olayları Listesi.

Not

Kuruluşunuzun hangi olay alanlarını günlüğe kaydedeceklerini öğrenmek mi istiyorsunuz? Denetim Günlüğü Sorgu API'sini kullanıma almalısınız: https://auditservice.dev.azure.com/{YOUR_ORGANIZATION}/_apis/audit/actions, {YOUR_ORGANIZATION} yerine kuruluşunuzun adını yazın. Bu API, kuruluşunuzun yayabileceği tüm denetim olaylarının (veya eylemlerin) listesini döndürür.

Denetim günlüğünü tarih ve saate göre filtreleme

Geçerli Denetim kullanıcı arabiriminde olayları yalnızca tarih veya saat aralığına göre filtreleyebilirsiniz.

  1. Görüntülenebilir denetim olaylarını daraltmak için zaman filtresini seçin.

    Tarih ve saate göre denetim girdisi filtresini gösteren ekran görüntüsü.

  2. Filtreleri kullanarak son 90 gün içinde herhangi bir zaman aralığını seçin ve kapsamı dakika olarak daraltın. Bir zaman aralığı seçtiğinizde, c

  3. Aramayı başlatmak için zaman aralığı seçicisinde Uygula'yı seçin. Varsayılan olarak, bu zaman seçimi için ilk 200 sonuç döndürülr. Daha fazla sonuç varsa sayfaya daha fazla girdi yüklemek için aşağı kaydırabilirsiniz.

Denetim olaylarını dışarı aktarma

Denetim verileri üzerinde daha ayrıntılı bir arama yapmak veya verileri 90 günden uzun süre depolamak için mevcut denetim olaylarını dışarı aktarın. Dışarı aktarılan verileri başka bir konumda veya hizmette depolayabilirsiniz.

Denetim olaylarını dışarı aktarmak için İndir düğmesini seçin. Verileri CSV veya JSON dosyası olarak indirmeyi seçebilirsiniz.

İndirme işlemi, filtrede seçtiğiniz zaman aralığına göre olayları içerir. Örneğin, bir gün seçerseniz, bir günlük veri alırsınız. 90 günün tümünü almak için zaman aralığı filtresinden 90 gün seçin ve indirmeyi başlatın.

Not

Denetim olaylarınızın uzun süreli depolanması ve analizi için, olaylarınızı bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aracına göndermek için Denetim Akışı özelliğini kullanmayı göz önünde bulundurun. İmleçli veri analizi için denetim günlüklerini dışarı aktarmanızı öneririz.

  • Verileri tarih/saat aralığının ötesinde filtrelemek için günlükleri CSV dosyası olarak indirin ve Alan ve Kategori sütunlarında gezinmek için Bunları Microsoft Excel'e veya diğer CSV ayrıştırıcılarına aktarın.
  • Daha büyük veri kümelerini analiz etmek için Denetim Akışı işlevini kullanarak dışarı aktarılan denetim olaylarını Güvenlik Olayı ve Olay Yönetimi (SIEM) aracına yükleyin. SIEM araçları, 90 günden fazla etkinlik tutmanıza, arama yapmanıza, raporlar oluşturmanıza ve denetim olaylarına göre uyarılar yapılandırmanıza olanak tanır.

Sınırlamalar

Denetlenebilecekler için aşağıdaki sınırlamalar geçerlidir:

  • Microsoft Entra grup üyeliği değişiklikleri: Denetim Günlükleri, bir olay Alanı olduğunda Azure DevOps gruplarına ve grup üyeliğine yönelik güncelleştirmeleri Groupsiçerir. Ancak, üyeliği Microsoft Entra grupları aracılığıyla yönetiyorsanız, bu Microsoft Entra gruplarından kullanıcıların eklenmesi ve kaldırılması bu günlüklere dahil değildir. Bir kullanıcının veya grubun bir Microsoft Entra grubuna ne zaman eklendiğini veya kaldırıldığını görmek için Microsoft Entra denetim günlüklerini gözden geçirin.
  • Oturum açma olayları: Azure DevOps, oturum açma olaylarını izlemez. Microsoft Entra Id'nizde oturum açma olaylarını gözden geçirmek için Microsoft Entra denetim günlüklerini görüntüleyin.
  • Dolaylı kullanıcı eklemeleri: Bazı durumlarda kullanıcılar kuruluşunuza dolaylı olarak eklenebilir ve Denetim günlüğünde Azure DevOps Services tarafından ekleniyor olarak gösteriliyor olabilir. Örneğin, bir kullanıcı bir iş öğesine atanmışsa kuruluşa otomatik olarak eklenebilir. Eklenen kullanıcı için bir denetim olayı oluşturulurken, kullanıcı ekleme işlemini tetikleyen iş öğesi ataması için buna karşılık gelen bir denetim olayı yoktur. Bu olayları izlemek için aşağıdaki eylemleri göz önünde bulundurun:
    • Bu kullanıcının herhangi bir iş öğesine atandığını görmek için ilgili zaman damgaları için iş öğesi geçmişinizi gözden geçirin.
    • Bağlam sağlayabilecek tüm ilgili olaylar için denetim günlüğünü denetleyin.

Sık sorulan sorular

S: DirectoryServiceAddMember grubu nedir ve denetim günlüğünde neden görüntüleniyor?

Y: Grup, DirectoryServiceAddMember kuruluşunuzdaki üyeliği yönetmeye yardımcı olur. Birçok sistem, kullanıcı ve yönetim eylemi bu sistem grubu üyeliğini etkileyebilir. Bu grup yalnızca iç işlemler için kullanıldığından, bu gruptaki üyelik değişikliklerini yakalayan denetim günlüğü girdilerini göz ardı edebilirsiniz.