Freigeben über

Erstellen von Überwachungsstreaming

Azure DevOps Services

Hinweis

Die Überwachung befindet sich noch in der öffentlichen Vorschau.

Erfahren Sie, wie Sie eine Prüfung Stream, der Daten an andere Stellen zur weiteren Verarbeitung sendet. Senden Sie Prüfen-Daten an andere Werkzeuge für das Sicherheit Incident und Event Management (SIEM) und eröffnen Sie sich damit neue Möglichkeiten, z. B. die Möglichkeit, Alarme für bestimmte Ereignisse auszulösen, visions auf Prüfen-Daten zu erstellen und Anomalie-Erkennung durchzuführen. Durch das Einrichten eines Datenstroms können Sie auch Auditing-Daten für über 90 Tage speichern, was die maximale Datenmenge ist, die Azure DevOps für Ihre Organisationen aufbewahrt.

Wichtig

Die Überwachung ist nur für Organisationen verfügbar, die von Microsoft Entra ID unterstützt werden. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation mit Microsoft Entra ID.

Audit-Streams stellen eine Pipeline dar, durch die Audit-Ereignisse von Ihrer Azure DevOps-Organisation zu einem Streamziel geleitet werden. Alle halbe Stunde oder weniger werden neue Prüfungsereignisse gebündelt und an Ihre Ziele gestreamt. Die folgenden Stream-Ziele sind für die Konfiguration verfügbar.

  • Splunk - Verbindung zu lokalem oder Cloud-basiertem Splunk.
  • Azure Monitor Logs – Überwachungsprotokolle an Azure Monitor Logs senden. Protokolle, die in Azure Monitor gespeicherten Protokollen gespeichert sind, können abgefragt und Benachrichtigungen konfiguriert werden. Suchen Sie nach der Tabelle namens AzureDevOpsAuditing. Sie können auch Microsoft Sentinel mit Ihrem Arbeitsbereich verbinden.
  • Azure Event Grid – Für Szenarien, in denen Ihre Überwachungsprotokolle an eine andere Stelle gesendet werden sollen, ob innerhalb oder außerhalb Azure, können Sie eine Azure Event Gridverbindung einrichten.

Private verknüpfte Workspaces werden derzeit nicht unterstützt.

Hinweis

Die Überwachung ist für lokale Bereitstellungen nicht verfügbar. Es ist möglich, einen Audit-Datenstrom mit einer on-premises oder cloudbasierten Instanz von Splunk zu verbinden. Stellen Sie jedoch sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Weitere Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.

Voraussetzungen

Die Überwachung ist für alle Azure DevOps Services-Organisationen standardmäßig deaktiviert. Stellen Sie sicher, dass nur autorisiertes Personal Zugang zu sensiblen Prüfungsinformationen hat.

Kategorie Anforderungen
Erlaubnisse Mitglied der Gruppe Projektsammlungsadministratoren. Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. Oder die folgenden Überwachungsberechtigungen pro Benutzer oder Gruppe sind auf Zulassen festgelegt:
– Auditdatenströme verwalten
- Überwachungsprotokoll anzeigen
PCAs können diese Berechtigungen allen Benutzern oder Gruppen zum Verwalten von Organisationsdatenströmen erteilen, einschließlich Löschen von Überwachungsdatenströmen.

Hinweis

Wenn die Grenzwerte für die Sichtbarkeit und Zusammenarbeit von Benutzern auf bestimmte Projekte beschränken Wenn die Vorschaufunktion für die Organisation aktiviert ist, können Benutzer im Benutzer im Reservierungsumfang des Projekts Gruppe kann nicht sehen Prüfen und haben begrenzte Sichtbarkeit auf Einstellungen der Organisation Seiten. Für weitere Informationen und wichtige sicherheitsrelevante Einzelheiten siehe Grenzwerte für die Benutzersichtbarkeit von Projekten und mehr.

Einen Stream erstellen

  1. Melden Sie sich bei Ihrem organization (https://dev.azure.com/{Your_Organization}) an.

  2. Wählen Sie ZahnradsymbolOrganisationseinstellungen aus.

    Screenshot der hervorgehobenen Schaltfläche

  3. Wählen Sie Überwachung aus.

    Wählen Sie Prüfen in den Organisationseinstellungen

Hinweis

Wenn die Überwachung in den Organisationseinstellungen nicht angezeigt wird, ist die Überwachung für Ihre Organisation derzeit nicht aktiviert. Jemand aus der Gruppe der Organisationseigentümer oder Projektsammlungsadministratoren (PCAs) muss Prüfen aktivieren in Organisation Policies. Sie können Ereignisse auf der Seite "Überwachung" sehen, wenn Sie über die entsprechenden Berechtigungen verfügen.

  1. Gehen Sie zum Streams und wählen Sie dann Neuer Strom.

    Wählen Sie Neuer Stream, um einen neuen Prüfen Stream zu erstellen.

  2. Wählen Sie das Stream-Ziel aus, das Sie konfigurieren möchten, und wählen Sie dann aus den folgenden Anweisungen, um Ihren Stream-Ziel-Typ zu aktivieren.

Hinweis

Derzeit können Sie nur zwei Datenströme für jeden Zieltyp verwenden.

Erstellen Sie Ihren Stream-Dialog Pop-Out

Aktivieren eines Splunk-Streams

Streams senden Daten an Splunk über den HTTP Event Collector Endpunkt.

  1. Aktivieren Sie diese Funktion in Splunk. Weitere Informationen finden Sie hier Splunk-Dokumentation.

    Nach der Aktivierung sollten Sie ein HTTP Event Collector-Token und die URL zu Ihrer Splunk-Instanz haben. Sie benötigen sowohl das Token als auch die URL, um einen Splunk-Stream zu erstellen.

    Hinweis

    Wenn Sie ein neues Ereignissammlertoken in Splunk erstellen, setzen Sie kein Häkchen bei „Indizierer-Bestätigung aktivieren“. Wenn das Kontrollkästchen aktiviert ist, fließen keine Ereignisse in Splunk ein. Sie können das Token in Splunk bearbeiten, um diese Einstellung zu entfernen.

  2. Geben Sie Ihre Splunk-URL ein, die den Zeiger auf Ihre Splunk-Instanz darstellt. Stellen Sie sicher, dass Sie einen Port am Ende der URL angeben. Der Standardanschluss ist 8088Ihre URL würde also ähnlich lauten https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 oder https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Geben Sie den Ereignissammler-Token, den Sie erstellt haben, in das Token-Feld ein. Das Token wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Wir empfehlen, das Token regelmäßig zu wechseln, was Sie tun können, indem Sie ein neues Token von Splunk erhalten und den Stream bearbeiten.

    Geben Sie den Themenendpunkt und den Zugriffsschlüssel ein, den Sie zuvor

  4. Klicken Sie auf Einrichten.

Ihr Stream wird konfiguriert und die ersten Ereignisse werden innerhalb einer halben Stunde oder weniger in Splunk angezeigt.

Aktivieren Sie einen Event Grid-Stream

  1. Erstellen Sie ein Event Grid-Thema in Azure.

Hinweis

Gehen Sie zum Fortgeschrittene und stellen Sie sicher, dass das Ereignisschema aktiviert ist auf Ereignisraster-Schema. Andere Schemas werden von Azure DevOps nicht unterstützt.

  1. Notieren Sie sich den "Themenendpunkt" und einen der beiden "Zugriffstasten". Verwenden Sie diese Informationen, um die Ereignisrasterverbindung zu erstellen.

    Die Azure Event Grid Informationen

  2. Geben Sie den Themenendpunkt und einen der Zugriffsschlüssel ein. Der Zugriffsschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Wechseln Sie den Zugriffsschlüssel regelmäßig, indem Sie einen neuen Schlüssel von Azure Event Grid abrufen und die Konfiguration des Datenstroms bearbeiten.

    Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, um eine

Nachdem Sie Ihren Event Grid-Stream konfiguriert haben, können Sie Abonnements im Ereignisraster einrichten, um die Daten fast überall in Azure zu senden.

Einrichten eines Azure Monitor Protokolldatenstroms

  1. Erstellen Sie einen Log Analytics-Arbeitsbereich.
  2. Öffnen Sie den Arbeitsbereich, und wählen Sie "Übersicht" aus.
  3. Notieren Sie sich die Arbeitsbereichs-ID, die Ressourcengruppe und den Arbeitsbereichsnamen.
  4. Rufen Sie den freigegebenen Schlüssel mit einer der folgenden Methoden ab:
  • Verwenden von PowerShell und dem Az.OperationalInsights-Modul: 
    Get-AzOperationalInsightsWorkspaceSharedKey -ResourceGroupName <Resource group> -Name <Workspace name>
  • Using Azure CLI: 
    az monitor log-analytics workspace get-shared-keys --resource-group <Resource group> --workspace-name <Workspace name>
  • Verwenden der REST-API: Aufrufen der API zum Abrufen freigegebener Schlüssel

Hinweis

Direkter Zugriff auf Arbeitsbereichsschlüssel über das Azure Portal ist veraltet. Verwenden Sie PowerShell-, Azure CLI- oder REST-API-Methoden, um freigegebene Schlüssel programmgesteuert abzurufen.

  1. Richten Sie Ihren Azure Monitor Protokolldatenstrom ein, indem Sie die gleichen ersten Schritte zum Erstellen eines Datenstroms ausführen.

  2. Wählen Sie für Zieloptionen Azure Monitor Protokolle aus.

  3. Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann Aktivieren Sie. Der Primärschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie den Schlüssel regelmäßig, indem Sie einen neuen Schlüssel aus Azure Monitor Log abrufen und den Stream bearbeiten.

    Geben Sie die Workspace-ID und den Primärschlüssel ein und wählen Sie dann Einrichten.

Der Stream ist aktiviert und neue Ereignisse werden innerhalb einer halben Stunde oder weniger übertragen. Sie können auf die Tabelle AzureDevOpsAuditing verweisen.

Hinweis

Die Standardaufbewahrungszeit für Azure Monitor Protokolle beträgt nur 30 Tage. Sie können eine längere Aufbewahrung konfigurieren und auswählen, indem Sie Datenaufbewahrung unter Nutzung und geschätzte Kosten in den Einstellungen Ihres Arbeitsbereichs. Diese Aktion verursacht weitere Gebühren. Überprüfen Sie die Dokumentation, um mehr darüber zu erfahren, wie Sie die Nutzung und Kosten mit Azure Monitor Logs verwalten können.

Einen Stream bearbeiten

Einzelheiten zu Ihrem Stream-Ziel können sich im Laufe der Zeit ändern. Um diese Änderungen in Ihren Streams zu berücksichtigen, können Sie sie bearbeiten. Um einen Stream zu bearbeiten, stellen Sie sicher, dass Sie über die Verwalten von Prüfung-Streams Erlaubnis.

  1. Wählen Sie neben dem Stream, den Sie bearbeiten möchten, die drei vertikalen Punkte ganz rechts aus und wählen Sie dann Stream bearbeiten.

    Stream bearbeiten auswählen

  2. Wählen Sie Speichern aus.

Die für die Bearbeitung verfügbaren Parameter unterscheiden sich je nach Stream-Typ.

Deaktivieren eines Streams

  1. Bewegen Sie das Symbol neben dem Stream, den Sie deaktivieren möchten. Aktiviert umschalten von On auf Off.
    Wenn Streams einen Fehler aufweisen, werden sie möglicherweise deaktiviert. Sie können Einzelheiten über den Fehler aus dem neben dem Stream angezeigten Status ablesen oder durch Auswahl von Stream bearbeiten. Sie können einen Stream auch manuell deaktivieren und ihn später wieder aktivieren.

    Schieben Sie den Schalter auf Aus, um den Stream zu deaktivieren

  2. Wählen Sie Speichern aus.

Sie können einen deaktivierten Stream wieder aktivieren. Es holt alle Prüfungsereignisse nach, die in den letzten sieben Tagen verpasst wurden. Auf diese Weise verpassen Sie keine Ereignisse aus der Zeit, in der der Stream deaktiviert war.

Hinweis

Ereignisse, die älter als sieben Tage sind, werden nicht im Nachholup enthalten, wenn ein Datenstrom für mehr als sieben Tage deaktiviert ist.

Löschen Sie einen Stream

Um einen Stream zu löschen, stellen Sie sicher, dass Sie über die Prüfung-Streams löschen Erlaubnis.

Wichtig

Nachdem Sie einen Datenstrom gelöscht haben, können Sie ihn nicht mehr abrufen.

  1. Bewegen Sie den Mauszeiger über den Stream, den Sie löschen möchten, und wählen Sie die drei vertikalen Punkte ganz rechts.

  2. Wählen Sie Stream löschen.

    Wählen Sie Stream löschen und er wird entfernt

  3. Klicken Sie auf Bestätigen.

Das System entfernt Ihren Stream. Alle nicht gesendeten Ereignisse vor der Löschung werden nicht gesendet.

Verwandte Inhalte

  • Last updated on