Erstellen von Überwachungsstreaming

Azure DevOps Services | Azure DevOps Server 2022

Hinweis

Die Überwachung befindet sich weiterhin in der öffentlichen Vorschau.

Erfahren Sie, wie Sie einen Überwachungsdatenstrom erstellen, der Daten an andere Speicherorte zur weiteren Verarbeitung sendet. Senden Von Überwachungsdaten an andere Tools für Sicherheitsvorfälle und Ereignisverwaltung (SIEM) und öffnen Sie neue Möglichkeiten, z. B. die Möglichkeit, Warnungen für bestimmte Ereignisse auszulösen, Ansichten zu Überwachungsdaten zu erstellen und Anomalieerkennung durchzuführen. Durch das Einrichten eines Datenstroms können Sie auch mehr als 90 Tage im Wert von Überwachungsdaten speichern, was die maximale Menge an Daten ist, die Azure DevOps für Ihre Organisationen behält.

Wichtig

Die Überwachung ist nur für Organisationen verfügbar, die von Azure Active Directory unterstützt werden. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation mit Azure Active Directory.

Überwachungsstreams stellen eine Pipeline dar, die Überwachungsereignisse von Ihrer Azure DevOps-Organisation zu einem Streamziel fließt. Jede halbe Stunde oder weniger werden neue Überwachungsereignisse gebündelt und an Ihre Ziele gestreamt. Die folgenden Streamziele sind für die Konfiguration verfügbar.

  • Splunk – Stellen Sie eine Verbindung mit lokalen oder cloudbasierten Splunk her.
  • Azure Monitor-Protokolle – Senden von Überwachungsprotokollen an Azure Monitor-Protokolle. Protokolle, die in Azure Monitor-Protokollen gespeichert sind, können abgefragt werden und Benachrichtigungen konfiguriert haben. Suchen Sie nach der Tabelle mit dem Namen AzureDevOpsAuditing. Sie können Microsoft Sentinel auch mit Ihrem Arbeitsbereich verbinden.
  • Azure Event Grid – Für Szenarien, in denen Ihre Überwachungsprotokolle an eine andere Stelle gesendet werden sollen, ob innerhalb oder außerhalb von Azure, können Sie eine Azure Event Grid Verbindung einrichten.

Private verknüpfte Arbeitsbereiche werden heute nicht unterstützt.

Hinweis

Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Es ist möglich, einen Überwachungsdatenstrom mit einer lokalen oder cloudbasierten Instanz von Splunk zu verbinden, stellen Sie jedoch sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Ausführliche Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.

Voraussetzungen

Standardmäßig sind Project Collection Administrators (PCAs) die einzige Gruppe, die Zugriff auf das Überwachungsfeature hat. Sie benötigen die folgenden Berechtigungen:

  • Verwalten von Überwachungsdatenströmen

  • Anzeigen des Überwachungsprotokolls

    Festlegen von Überwachungsberechtigungen auf

Diese Berechtigungen können allen Benutzern oder Gruppen erteilt werden, die Sie über die Datenströme Ihrer Organisation verfügen möchten. Darüber hinaus gibt es eine Berechtigung zum Löschen von Überwachungsdatenströmen , die Sie für Benutzer oder Gruppen hinzufügen können.

Erstellen eines Datenstroms

  1. Melden Sie sich bei Ihrer Organisation an (https://dev.azure.com/{yourorganization}).

  2. Wählen Sie Organisationseinstellungen" aus.

    Screenshot mit hervorgehobener Schaltfläche

  3. Wählen Sie "Überwachung" aus.

    Auswählen der Überwachung in Den Organisationseinstellungen

Hinweis

Wenn die Überwachung in den Organisationseinstellungen nicht angezeigt wird, ist die Überwachung derzeit nicht für Ihre Organisation aktiviert. Jemand in der Gruppe "Organisationsbesitzer" oder "Project Collection Administrators" (PCAs) muss die Überwachung in Organisationsrichtlinien aktivieren. Sie können dann Ereignisse auf der Überwachungsseite anzeigen, wenn Sie über die entsprechenden Berechtigungen verfügen.

  1. Wechseln Sie zur Registerkarte "Datenströme ", und wählen Sie dann "Neuer Stream" aus.

    Wählen Sie

  2. Wählen Sie das Streamziel aus, das Sie konfigurieren möchten, und wählen Sie dann aus den folgenden Anweisungen aus, um ihren Streamzieltyp einzurichten.

Hinweis

Derzeit können Sie nur 2 Datenströme für jeden Zieltyp haben.

Erstellen des Streamdialogfelds

Einrichten eines Splunk-Datenstroms

Daten werden über den HTTP-Ereignissammlerendpunkt an Splunk gesendet.

  1. Aktivieren Sie dieses Feature in Splunk. Weitere Informationen finden Sie in dieser Splunk-Dokumentation.

    Nachdem sie aktiviert ist, sollten Sie über ein HTTP-Ereignissammlertoken und die URL zu Ihrer Splunk-Instanz verfügen. Sie benötigen sowohl das Token als auch die URL, um einen Splunk-Stream zu erstellen.

    Hinweis

    Wenn Sie ein neues Ereignissammlertoken in Splunk erstellen, aktivieren Sie nicht "Indexerbestätigung aktivieren". Wenn sie überprüft wird, fließen keine Ereignisse in Splunk. Sie können das Token in Splunk bearbeiten, um diese Einstellung zu entfernen.

  2. Geben Sie Ihre Splunk-URL ein, was der Zeiger auf Ihre Splunk-Instanz ist. Stellen Sie sicher, dass Sie einen Port am Ende der URL angeben. Der Standardport ist 8088, sodass Ihre URL ähnlich https://prd-p-2k3mp2xhznbs.cloud.splunk.come:8088wäre .

  3. Geben Sie das Ereignissammlertoken ein, das Sie im Tokenfeld erstellt haben. Das Token wird sicher in Azure DevOps gespeichert und wird nie wieder auf der Benutzeroberfläche angezeigt. Es wird empfohlen, das Token regelmäßig zu drehen, was Sie tun können, indem Sie ein neues Token von Splunk abrufen und den Datenstrom bearbeiten.

    Geben Sie den Themenendpunkt und Zugriffsschlüssel ein, den Sie zuvor erwähnt haben

  4. Wählen Sie "Einrichten" und die konfigurierten Datenströme aus.

Ereignisse beginnen innerhalb einer halben Stunde auf Splunk zu kommen.

Einrichten eines Ereignisrasterdatenstroms

  1. Erstellen Sie ein Ereignisrasterthema in Azure.

  2. Notieren Sie sich den "Themenendpunkt" und einen der beiden "Zugriffstasten". Verwenden Sie diese Informationen, um die Ereignisrasterverbindung zu erstellen.

    Azure Event Grid Informationen

  3. Geben Sie den Themenendpunkt und eine der Zugriffstasten ein. Der Zugriffsschlüssel wird sicher in Azure DevOps gespeichert und wird nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie die Zugriffstaste regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel von Azure Event Grid abrufen und den Datenstrom bearbeiten.

    Eingeben der Arbeitsbereichs-ID und des Primärschlüssels zum Erstellen

Nachdem Sie Ihren Event Grid-Stream konfiguriert haben, können Sie Abonnements im Ereignisraster einrichten, um die Daten fast überall in Azure zu senden.

Einrichten eines Azure Monitor-Protokolldatenstroms

  1. Erstellen Sie einen Log Analytics-Arbeitsbereich.

  2. Öffnen Sie den Arbeitsbereich, und wählen Sie die Agents-Verwaltung aus.

  3. Notieren Sie sich die Arbeitsbereichs-ID und den Primärschlüssel.

    Notieren sie sich die Arbeitsbereichs-ID und den Primärschlüssel

  4. Richten Sie Ihren Azure Monitor-Protokolldatenstrom ein, indem Sie die gleichen ersten Schritte ausführen, um einen Datenstrom zu erstellen.

  5. Wählen Sie für Zieloptionen Azure Monitor-Protokolle aus.

  6. Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann "Einrichten" aus. Der Primärschlüssel wird sicher in Azure DevOps gespeichert und wird nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie den Schlüssel regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus dem Azure Monitor-Protokoll abrufen und den Datenstrom bearbeiten.

    Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann

Der Datenstrom ist aktiviert, und neue Ereignisse beginnen innerhalb einer halben Stunde oder weniger zu fließen. Sie können auf die AzureDevOpsAuditing-Tabelle verweisen.

Hinweis

Die Standardaufbewahrungszeit für Azure Monitor-Protokolle beträgt nur 30 Tage. Sie können eine längere Aufbewahrung konfigurieren und auswählen, indem Sie die Datenaufbewahrung unter Verwendung und geschätzte Kosten in Ihren Arbeitsbereichseinstellungen auswählen. Dies verursacht zusätzliche Gebühren. Überprüfen Sie die Dokumentation , um die Nutzung und Kosten mit Azure Monitor-Protokollen zu verwalten, um weitere Details zu erhalten.

Bearbeiten eines Datenstroms

Details zu Ihrem Streamziel können sich im Laufe der Zeit ändern. Um diese Änderungen in Ihren Datenströme darzustellen, können Sie sie bearbeiten. Um einen Stream zu bearbeiten, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsdatenströme verwalten " verfügen.

  1. Wählen Sie neben dem Datenstrom, den Sie bearbeiten möchten, die vertikalen drei Punkte rechts aus, und wählen Sie dann "Stream bearbeiten" aus.

    Datenstrom bearbeiten

  2. Wählen Sie Speichern aus.

Parameter, die für die Bearbeitung verfügbar sind, unterscheiden sich je Streamtyp.

Deaktivieren eines Datenstroms

  1. Verschieben Sie neben dem Datenstrom, den Sie deaktivieren möchten, den aktivierten Umschalter von "Ein " nach "Aus".
    Wenn Datenströme einen Fehler auftreten, werden sie möglicherweise deaktiviert. Sie können Details zum Fehler aus dem Status erhalten, der neben dem Stream angezeigt wird, oder indem Sie den Datenstrom bearbeiten. Sie können einen Stream auch manuell deaktivieren und dann später erneut aktivieren.

    Wechseln zum Deaktivieren des Datenstroms

  2. Wählen Sie Speichern aus.

Sie können einen deaktivierten Stream erneut aktivieren. Es erfasst alle Überwachungsereignisse, die bis zu den vorherigen sieben Tagen verpasst wurden. Auf diese Weise verpassen Sie keine Ereignisse aus der Dauer, in der der Stream deaktiviert wurde.

Hinweis

Wenn ein Stream für mehr als 7 Tage deaktiviert ist, werden Ereignisse, die älter als 7 Tage sind, nicht in den Nachholzugriff eingeschlossen.

Löschen eines Datenstroms

Um einen Stream zu löschen, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsdatenströme löschen " verfügen.

Wichtig

Nachdem Sie einen Datenstrom gelöscht haben, können Sie ihn nicht wieder abrufen.

  1. Zeigen Sie auf den Datenstrom, den Sie löschen möchten, und wählen Sie die vertikalen drei Punkte rechts aus.

  2. Wählen Sie "Datenstrom löschen" aus.

    Wählen Sie

  3. Klicken Sie auf Bestätigen.

Ihr Stream wird entfernt. Alle Ereignisse, die vor dem Löschen nicht gesendet wurden, werden nicht gesendet.