Erstellen von Überwachungsstreaming

Azure DevOps Services

Hinweis

Die Überwachung befindet sich weiterhin in der öffentlichen Vorschau.

Erfahren Sie, wie Sie einen Überwachungsdatenstrom erstellen, der Daten an andere Speicherorte zur weiteren Verarbeitung sendet. Senden Von Überwachungsdaten an andere Tools für Sicherheitsvorfälle und Ereignisverwaltung (SIEM) und öffnen Sie neue Möglichkeiten, z. B. die Möglichkeit, Warnungen für bestimmte Ereignisse auszulösen, Ansichten zu Überwachungsdaten zu erstellen und Anomalieerkennung durchzuführen. Durch das Einrichten eines Datenstroms können Sie auch mehr als 90 Tage im Wert von Überwachungsdaten speichern, was die maximale Menge an Daten ist, die Azure DevOps für Ihre Organisationen beibehalten.

Wichtig

Die Überwachung ist nur für Organisationen verfügbar, die von Azure Active Directory unterstützt werden. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation, um Azure Active Directory.

Überwachungsstreams stellen eine Pipeline dar, die Überwachungsereignisse von Ihrer Azure DevOps Organisation zu einem Streamziel fließt. Jede halbe Stunde oder weniger werden neue Überwachungsereignisse gebündelt und an Ihre Ziele gestreamt. Die folgenden Streamziele sind für die Konfiguration verfügbar.

Private verknüpfte Arbeitsbereiche werden heute nicht unterstützt.

Hinweis

Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Es ist möglich, einen Überwachungsdatenstrom mit einer lokalen oder cloudbasierten Instanz von Splunk zu verbinden, stellen Sie jedoch sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Ausführliche Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.

Voraussetzungen

Standardmäßig sind Project Sammlungsadministratoren (PCAs) die einzige Gruppe, die Zugriff auf das Überwachungsfeature hat. Sie benötigen die folgenden Berechtigungen:

  • Verwalten von Überwachungsdatenströmen

  • Anzeigen des Überwachungsprotokolls

    Set audit permissions to Allow

Diese Berechtigungen können allen Benutzern oder Gruppen erteilt werden, die Sie über die Datenströme Ihrer Organisation verfügen möchten. Darüber hinaus gibt es eine Berechtigung zum Löschen von Überwachungsdatenströmen , die Sie für Benutzer oder Gruppen hinzufügen können.

Erstellen eines Datenstroms

  1. Melden Sie sich bei Ihrer Organisation an (https://dev.azure.com/{yourorganization}).

  2. Wählen Sie gear icon"Organisationseinstellungen" aus.

    Open Organization settings

  3. Wählen Sie "Überwachung" aus.

    Select Auditing in Organization settings

Hinweis

Wenn die Überwachung in organisation Einstellungen nicht angezeigt wird, ist die Überwachung derzeit nicht für Ihre Organisation aktiviert. Jemand in der Gruppe "Organisationsbesitzer" oder "Project Sammlungsadministratoren" (PCAs) muss die Überwachung in Organisationsrichtlinien aktivieren. Sie können dann Ereignisse auf der Überwachungsseite anzeigen, wenn Sie über die entsprechenden Berechtigungen verfügen.

  1. Wechseln Sie zur Registerkarte Streams, und wählen Sie dann "Neuer Datenstrom" aus.

    Select New stream to create your new auditing stream.

  2. Wählen Sie das Streamziel aus, das Sie konfigurieren möchten, und wählen Sie dann aus den folgenden Anweisungen aus, um ihren Streamzieltyp einzurichten.

Hinweis

Derzeit können Sie nur 2 Datenströme für jeden Zieltyp haben.

Create your stream dialog pop out

Einrichten eines Splunk-Datenstroms

Streams Daten über den HTTP-Ereignissammlerendpunkt an Splunk senden.

  1. Aktivieren Sie dieses Feature in Splunk. Weitere Informationen finden Sie in dieser Splunk-Dokumentation.

    Nachdem sie aktiviert ist, sollten Sie über ein HTTP-Ereignissammlertoken und die URL zu Ihrer Splunk-Instanz verfügen. Sie benötigen sowohl das Token als auch die URL, um einen Splunk-Stream zu erstellen.

    Hinweis

    Wenn Sie ein neues Ereignissammlertoken in Splunk erstellen, aktivieren Sie nicht "Indexerbestätigung aktivieren". Wenn sie überprüft wird, fließen keine Ereignisse in Splunk. Sie können das Token in Splunk bearbeiten, um diese Einstellung zu entfernen.

  2. Geben Sie Ihre Splunk-URL ein, was der Zeiger auf Ihre Splunk-Instanz ist. Stellen Sie sicher, dass Sie einen Port am Ende der URL angeben. Der Standardport ist 8088, sodass Ihre URL ähnlich https://prd-p-2k3mp2xhznbs.cloud.splunk.come:8088wäre .

  3. Geben Sie das Ereignissammlertoken ein, das Sie im Tokenfeld erstellt haben. Das Token wird sicher in Azure DevOps gespeichert und wird nie wieder auf der Benutzeroberfläche angezeigt. Es wird empfohlen, das Token regelmäßig zu drehen, was Sie tun können, indem Sie ein neues Token von Splunk abrufen und den Datenstrom bearbeiten.

    Enter topic endpoint and access key that you noted earlier

  4. Wählen Sie "Einrichten" und die konfigurierten Datenströme aus.

Ereignisse beginnen innerhalb einer halben Stunde auf Splunk zu kommen.

Einrichten eines Ereignisrasterdatenstroms

  1. Erstellen Sie ein Ereignisrasterthema in Azure.

  2. Notieren Sie sich den "Themenendpunkt" und einen der beiden "Zugriffstasten". Verwenden Sie diese Informationen, um die Ereignisrasterverbindung zu erstellen.

    Azure Event Grid information

  3. Geben Sie den Themenendpunkt und eine der Zugriffstasten ein. Der Zugriffsschlüssel wird sicher in Azure DevOps gespeichert und wird nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie die Zugriffstaste regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel von Azure Event Grid abrufen und den Datenstrom bearbeiten.

    Enter workspace ID and primary key to create

Nachdem Sie Ihren Event Grid-Stream konfiguriert haben, können Sie Abonnements im Ereignisraster einrichten, um die Daten fast überall in Azure zu senden.

Einrichten eines Azure Monitor-Protokolldatenstroms

  1. Erstellen Sie einen Log Analytics-Arbeitsbereich.

  2. Öffnen Sie den Arbeitsbereich, und wählen Sie die Agents-Verwaltung aus.

  3. Notieren Sie sich die Arbeitsbereichs-ID und den Primärschlüssel.

    Make note of workspace ID and primary key

  4. Richten Sie Ihren Azure Monitor-Protokolldatenstrom ein, indem Sie die gleichen ersten Schritte ausführen, um einen Datenstrom zu erstellen.

  5. Wählen Sie für Zieloptionen Azure Monitor-Protokolle aus.

  6. Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann "Einrichten" aus. Der Primärschlüssel wird sicher in Azure DevOps gespeichert und wird nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie den Schlüssel regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus dem Azure Monitor-Protokoll abrufen und den Datenstrom bearbeiten.

    Enter workspace ID and primary key and then select Set up.

Der Datenstrom ist aktiviert, und neue Ereignisse beginnen innerhalb einer halben Stunde oder weniger zu fließen. Sie können auf die AzureDevOpsAuditing-Tabelle verweisen.

Hinweis

Die Standardaufbewahrungszeit für Azure Monitor-Protokolle beträgt nur 30 Tage. Sie können eine längere Aufbewahrung konfigurieren und auswählen, indem Sie die Datenaufbewahrung unter Verwendung und geschätzte Kosten in Ihren Arbeitsbereichseinstellungen auswählen. Dies verursacht zusätzliche Gebühren. Überprüfen Sie die Dokumentation , um die Nutzung und Kosten mit Azure Monitor-Protokollen zu verwalten, um weitere Details zu erhalten.

Bearbeiten eines Datenstroms

Details zu Ihrem Streamziel können sich im Laufe der Zeit ändern. Um diese Änderungen in Ihren Streams widerzuspiegeln, können Sie sie bearbeiten. Um einen Datenstrom zu bearbeiten, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsdatenströme verwalten" verfügen.

  1. Wählen Sie neben dem Datenstrom, den Sie bearbeiten möchten, die vertikalen drei Punkte rechts und dann den Datenstrom bearbeiten aus.

    Select Edit stream

  2. Wählen Sie Speichern aus.

Für die Bearbeitung verfügbare Parameter unterscheiden sich je Streamtyp.

Deaktivieren eines Datenstroms

  1. Verschieben Sie neben dem Datenstrom, den Sie deaktivieren möchten, den aktivierten Umschalter von "Ein " nach "Aus".
    Wenn Datenströme auf einen Fehler stoßen, werden sie möglicherweise deaktiviert. Sie können Details zum Fehler aus dem Status erhalten, der neben dem Stream angezeigt wird, oder indem Sie den Datenstrom bearbeiten. Sie können einen Stream auch manuell deaktivieren und dann später erneut aktivieren.

    Move toggle to Off to disable stream

  2. Wählen Sie Speichern aus.

Sie können einen deaktivierten Stream erneut aktivieren. Es erfasst alle Überwachungsereignisse, die bis zu den vorherigen sieben Tagen verpasst wurden. Auf diese Weise verpassen Sie keine Ereignisse aus der Dauer, in der der Stream deaktiviert wurde.

Hinweis

Wenn ein Stream für mehr als 7 Tage deaktiviert ist, werden Ereignisse, die älter als 7 Tage sind, nicht in den Nachholzugriff eingeschlossen.

Löschen eines Datenstroms

Um einen Stream zu löschen, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsdatenströme löschen " verfügen.

Wichtig

Nachdem Sie einen Datenstrom gelöscht haben, können Sie ihn nicht wieder abrufen.

  1. Zeigen Sie auf den Datenstrom, den Sie löschen möchten, und wählen Sie die vertikalen drei Punkte rechts aus.

  2. Wählen Sie "Datenstrom löschen" aus.

    Select Delete stream and it's removed

  3. Klicken Sie auf Bestätigen.

Ihr Stream wird entfernt. Alle Ereignisse, die vor dem Löschen nicht gesendet wurden, werden nicht gesendet.