Azure DevOps 中的一个项目已被删除(实际上是部分删除 - 存储库、管道、权限已被删除,但项目仍然存在)。我已打开审计日志并发现以下行初始化了删除:
Timestamp: <i>(removed)</i>
Id: <i>(removed)</i>
CorrelationId: <i>(removed)</i>
ActivityId: <i>(removed)</i>
ActorCUID: 00000000-0000-0000-0000-000000000000
ActorUserId: 00000002-0000-8888-8000-000000000000
ActorClientId: 00000000-0000-0000-0000-000000000000
ActorUPN: Azure DevOps Service
AuthenticationMechanism:
ScopeType: Organization
ScopeDisplayName: <i>(removed)</i>
ScopeId: <i>(removed)</i>
ProjectId: <i>(removed)</i>
ProjectName:
IpAddress:
UserAgent: TFS JobAgent(TfsJobAgent.exe, 19.242.35214.3)
ActionId: Project.HardDeleteQueued
Data: {"PreviousProjectName":"<i>(removed)</i>"}
Details: <i>(removed)</i> project deletion was started
Area: Project
Category: Remove
CategoryDisplayName: Remove
ActorDisplayName: Azure DevOps Service
如何发现谁删除了项目?如何知道是谁触发了 Azure DevOps 服务,然后又触发了删除?
提前感谢您的任何提示。
在Azure DevOps中,审计日志不仅记录了Organization用户的操作,还记录了后台服务(Actor通常显示为Azure DevOps Service)的操作。
从您分享的审计日志中可以看到,操作如下:
Project.HardDeleteQueued。项目的软删除是由组织用户执行的,但硬删除默认在软删除后 28 天由后台服务自动执行。因此,可以看出执行者是 Azure DevOps 服务。要发现是谁删除了项目,您可以
Project.SoftDeleteQueued在审计日志中搜索目标项目名称的操作:(特别是项目硬删除前 28 天的记录)。例如:
执行项目软删除操作的用户是实际删除项目的用户。
在 Azure DevOps Services 中触发项目硬删除的操作会在 28 天后自动完成。因此,我们无法在审计日志中看到触发该操作的组织用户。
有关更多详细信息,您可以参考此文档:访问、导出和过滤审计日志