Tworzenie przesyłania strumieniowego inspekcji

  • Artykuł

Azure DevOps Services

Uwaga

Inspekcja jest nadal dostępna w publicznej wersji zapoznawczej.

Dowiedz się, jak utworzyć strumień inspekcji , który wysyła dane do innych lokalizacji w celu dalszego przetwarzania. Wysyłanie danych inspekcji do innych narzędzi do zarządzania zdarzeniami zabezpieczeń i zdarzeń (SIEM) i otwieranie nowych możliwości, takich jak możliwość wyzwalania alertów dla określonych zdarzeń, tworzenia widoków dotyczących danych inspekcji i wykrywania anomalii. Skonfigurowanie strumienia umożliwia również przechowywanie ponad 90-dniowych danych inspekcji, co jest maksymalną ilością danych przechowywanych przez usługę Azure DevOps dla organizacji.

Ważne

Inspekcja jest dostępna tylko dla organizacji wspieranych przez identyfikator Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Połączenie organizacji do identyfikatora Entra firmy Microsoft.

Strumienie inspekcji reprezentują potok, który przepływa zdarzenia inspekcji z organizacji usługi Azure DevOps do celu strumienia. Co pół godziny lub mniej nowe zdarzenia inspekcji są pakowane i przesyłane strumieniowo do celów. Następujące elementy docelowe strumienia są dostępne dla konfiguracji.

  • Splunk — Połączenie do rozwiązania Splunk opartego na środowisku lokalnym lub w chmurze.
  • Dzienniki usługi Azure Monitor — wysyłanie dzienników inspekcji do dzienników usługi Azure Monitor. Dzienniki przechowywane w dziennikach usługi Azure Monitor można wykonywać zapytania i konfigurować alerty. Wyszukaj tabelę o nazwie AzureDevOpsAuditing. Możesz również połączyć usługę Microsoft Sentinel z obszarem roboczym.
  • Azure Event Grid — w scenariuszach, w których dzienniki inspekcji mają być wysyłane w innym miejscu, niezależnie od tego, czy znajdują się na platformie Azure, czy poza nią, możesz skonfigurować połączenie usługi Azure Event Grid .

Prywatne połączone obszary robocze nie są obecnie obsługiwane.

Uwaga

Inspekcja nie jest dostępna w przypadku wdrożeń lokalnych serwera Azure DevOps Server. Istnieje możliwość połączenia strumienia inspekcji z lokalnym lub opartym na chmurze wystąpieniem rozwiązania Splunk, ale upewnij się, że zezwalasz na zakresy adresów IP dla połączeń przychodzących. Aby uzyskać szczegółowe informacje, zobacz Dozwolone listy adresów i połączenia sieciowe, adresy IP i ograniczenia zakresu.

Wymagania wstępne

Domyślnie Administracja istratory kolekcji projektów (PCA) to jedyna grupa, która ma dostęp do funkcji inspekcji. Musisz mieć następujące uprawnienia:

  • Zarządzanie strumieniami inspekcji

  • Wyświetlanie dziennika inspekcji

    Set audit permissions to Allow

Te uprawnienia można nadać dowolnym użytkownikom lub grupom, którym chcesz zarządzać strumieniami organizacji. Ponadto istnieje również uprawnienie Usuń strumienie inspekcji , które można dodać dla użytkowników lub grup.

Tworzenie strumienia

  1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz pozycję gear iconUstawienia organizacji.

    Screenshot showing highlighted Organization settings button.

  3. Wybierz pozycję Inspekcja.

    Select Auditing in Organization settings

Uwaga

Jeśli nie widzisz inspekcji w organizacji Ustawienia, inspekcja nie jest obecnie włączona dla organizacji. Osoba w organizacji właściciel lub grupa Administracja istratorów kolekcji projektów (PCA) musi włączyć inspekcję w zasadach organizacji. Następnie będzie można zobaczyć zdarzenia na stronie Inspekcja, jeśli masz odpowiednie uprawnienia.

  1. Przejdź do karty Strumienie, a następnie wybierz pozycję Nowy strumień.

    Select New stream to create your new auditing stream.

  2. Wybierz docelowy strumień, który chcesz skonfigurować, a następnie wybierz z poniższych instrukcji, aby skonfigurować typ docelowy strumienia.

Uwaga

Obecnie można mieć tylko 2 strumienie dla każdego typu docelowego.

Create your stream dialog pop out

Konfigurowanie strumienia Splunk

Strumienie wysyłać dane do funkcji Splunk za pośrednictwem punktu końcowego modułu zbierającego zdarzenia HTTP.

  1. Włącz tę funkcję w narzędziu Splunk. Aby uzyskać więcej informacji, zobacz tę dokumentację splunk.

    Po jej włączeniu należy mieć token modułu zbierającego zdarzenia HTTP i adres URL wystąpienia splunk. Aby utworzyć strumień splunk, potrzebny jest zarówno token, jak i adres URL.

    Uwaga

    Podczas tworzenia nowego tokenu modułu zbierającego zdarzenia w narzędziu Splunk nie sprawdzaj opcji "Włącz potwierdzenie indeksatora". Jeśli jest zaznaczone, żadne zdarzenia nie przepływają do splunku. Możesz edytować token w narzędziu Splunk, aby usunąć to ustawienie.

  2. Wprowadź adres URL splunk, który jest wskaźnikiem do wystąpienia splunk. Upewnij się, że na końcu adresu URL określono port. Domyślny port to 8088, więc adres URL będzie podobny do https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 lub https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Wprowadź token modułu zbierającego zdarzenia utworzone w polu tokenu. Token jest przechowywany bezpiecznie w usłudze Azure DevOps i nigdy nie jest wyświetlany ponownie w interfejsie użytkownika. Zalecamy regularne obracanie tokenu, co można zrobić, uzyskując nowy token z narzędzia Splunk i edytując strumień.

    Enter topic endpoint and access key that you noted earlier

  4. Wybierz pozycję Skonfiguruj i skonfigurowano strumień.

Wydarzenia zaczynają pojawiać się na Splunk w ciągu pół godziny lub mniej.

Konfigurowanie strumienia usługi Event Grid

  1. Tworzenie tematu usługi Event Grid na platformie Azure.

  2. Zanotuj punkt końcowy tematu i jeden z dwóch "kluczy dostępu". Użyj tych informacji, aby utworzyć połączenie usługi Event Grid.

    Azure Event Grid information

  3. Wprowadź punkt końcowy tematu i jeden z kluczy dostępu. Klucz dostępu jest bezpiecznie przechowywany w usłudze Azure DevOps i nigdy nie jest wyświetlany ponownie w interfejsie użytkownika. Regularnie obracaj klucz dostępu, co można zrobić, uzyskując nowy klucz z usługi Azure Event Grid i edytując strumień

    Enter workspace ID and primary key to create

Po skonfigurowaniu strumienia usługi Event Grid możesz skonfigurować subskrypcje w usłudze Event Grid, aby wysyłać dane niemal w dowolnym miejscu na platformie Azure.

Konfigurowanie strumienia dziennika usługi Azure Monitor

  1. Utwórz obszar roboczy usługi Log Analytics.

  2. Otwórz obszar roboczy i wybierz pozycję Agenci.

  3. Wybierz instrukcje agenta usługi Log Analytics, aby wyświetlić identyfikator obszaru roboczego i klucz podstawowy.

  4. Zanotuj identyfikator obszaru roboczego i klucz podstawowy.

    Make note of workspace ID and primary key

  5. Skonfiguruj strumień dzienników usługi Azure Monitor, wykonując te same początkowe kroki, aby utworzyć strumień.

  6. W obszarze opcje docelowe wybierz pozycję Dzienniki usługi Azure Monitor.

  7. Wprowadź identyfikator obszaru roboczego i klucz podstawowy, a następnie wybierz pozycję Skonfiguruj. Klucz podstawowy jest bezpiecznie przechowywany w usłudze Azure DevOps i nigdy nie jest wyświetlany ponownie w interfejsie użytkownika. Regularnie obracaj klucz, co można zrobić, uzyskując nowy klucz z dziennika usługi Azure Monitor i edytując strumień.

    Enter workspace ID and primary key and then select Set up.

Strumień jest włączony, a nowe zdarzenia zaczynają przepływać w ciągu pół godziny lub mniej. Możesz odwołać się do tabeli AzureDevOpsAuditing.

Uwaga

Domyślny czas przechowywania dzienników usługi Azure Monitor wynosi tylko 30 dni. Możesz skonfigurować i wybrać dłuższy okres przechowywania, wybierając pozycję Przechowywanie danych w obszarze Użycie i szacowane koszty w ustawieniach obszaru roboczego. Spowoduje to naliczanie dodatkowych opłat. Zapoznaj się z dokumentacją, aby zarządzać użyciem i kosztami za pomocą dzienników usługi Azure Monitor, aby uzyskać więcej informacji.

Edytowanie strumienia

Szczegółowe informacje o docelowym strumieniu mogą ulec zmianie w czasie. Aby odzwierciedlić te zmiany w strumieniach, możesz je edytować. Aby edytować strumień, upewnij się, że masz uprawnienie Zarządzanie strumieniami inspekcji .

  1. Obok strumienia, który chcesz edytować, wybierz pionową trzy kropki po prawej stronie, a następnie wybierz pozycję Edytuj strumień.

    Select Edit stream

  2. Wybierz pozycję Zapisz.

Parametry dostępne do edycji różnią się w zależności od typu strumienia.

Wyłączanie strumienia

  1. Obok strumienia, który chcesz wyłączyć, przenieś przełącznik Włączone z pozycji Włączone do wyłączonej.
    Gdy strumienie napotkają błąd, mogą zostać wyłączone. Możesz uzyskać szczegółowe informacje na temat błędu ze stanu wyświetlanego obok strumienia lub wybierając pozycję Edytuj strumień. Możesz również ręcznie wyłączyć strumień, a następnie ponownie włączyć go później.

    Move toggle to Off to disable stream

  2. Wybierz pozycję Zapisz.

Możesz ponownie włączyć wyłączony strumień. Nadrabia zaległe zdarzenia inspekcji, które zostały pominięte przez maksymalnie siedem poprzednich dni. Dzięki temu nie przegapisz żadnych zdarzeń z czasu trwania wyłączenia strumienia.

Uwaga

Jeśli strumień jest wyłączony przez więcej niż 7 dni, zdarzenia starsze niż 7 dni nie są uwzględniane w nadrabianiu zaległości.

Usuwanie strumienia

Aby usunąć strumień, upewnij się, że masz uprawnienie Usuń strumienie inspekcji .

Ważne

Po usunięciu strumienia nie będzie można go odzyskać.

  1. Umieść kursor na strumieniu, który chcesz usunąć, i wybierz pionową trzy kropki po prawej stronie.

  2. Wybierz pozycję Usuń strumień.

    Select Delete stream and it's removed

  3. Wybierz pozycję Potwierdź.

Strumień zostanie usunięty. Wszystkie zdarzenia, które nie zostały wysłane przed usunięciem, nie zostaną wysłane.