Freigeben über


Erstellen von Überwachungsstreaming

Azure DevOps Services

Hinweis

Die Überwachung befindet sich noch in der öffentlichen Vorschau.

Erfahren Sie, wie Sie einen Überwachungsdatenstrom erstellen, der Daten zur weiteren Verarbeitung an andere Speicherorte sendet. Senden Sie Überwachungsdaten an andere SIEM-Tools (Security Incident and Event Management), und öffnen Sie neue Möglichkeiten, z. B. die Möglichkeit, Warnungen für bestimmte Ereignisse auszulösen, Ansichten zu Überwachungsdaten zu erstellen und Anomalieerkennung durchzuführen. Durch das Einrichten eines Datenstroms können Sie außerdem mehr als 90 Tage lang Überwachungsdaten speichern, bei denen es sich um die maximale Datenmenge handelt, die Azure DevOps für Ihre Organisationen speichert.

Wichtig

Die Überwachung ist nur für Organisationen mit Microsoft Entra ID verfügbar. Weitere Informationen finden Sie unter Verknüpfen Ihrer Organisation mit Microsoft Entra ID.

Überwachungsdatenströme stellen eine Pipeline dar, die Überwachungsereignisse aus Ihrer Azure DevOps-Organisation zu einem Streamziel fließt. Jede halbe Stunde oder weniger werden neue Überwachungsereignisse gebündelt und an Ihre Ziele gestreamt. Die folgenden Streamziele sind für die Konfiguration verfügbar.

Private verknüpfte Arbeitsbereiche werden heute nicht unterstützt.

Hinweis

Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Es ist möglich, einen Überwachungsdatenstrom mit einer lokalen oder cloudbasierten Instanz von Splunk zu verbinden, aber stellen Sie sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Weitere Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.

Voraussetzungen

Die Überwachung ist für alle Azure DevOps Services-Organisationen standardmäßig deaktiviert. Stellen Sie sicher, dass nur autorisierte Mitarbeiter Zugriff auf vertrauliche Überwachungsinformationen haben.

Berechtigungen: Mitglied der Gruppe "Project Collection Administrators " (PCA). Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. Oder verfügen Sie über die folgenden Überwachungsberechtigungen pro Benutzer oder Gruppe:

  • Verwalten von Überwachungsdatenströmen
  • Anzeigen des Überwachungsprotokolls

Screenshot zeigt die Einstellungen für Überwachungsberechtigungen für

PCAs können diese Berechtigungen allen Benutzern oder Gruppen zum Verwalten von Organisationsdatenströmen über Sicherheitsberechtigungen > für Organisationseinstellungen> erteilen. PCAs können auch die Berechtigung "Überwachungsdatenströme löschen" zuweisen.

Hinweis

Wenn das Feature "Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projektevorschau beschränken" für die Organisation aktiviert ist, können Benutzer in der Gruppe "Project-Bereichsbezogene Benutzer" die Überwachung nicht anzeigen und eingeschränkte Sichtbarkeit für Organisationseinstellungenseiten haben. Weitere Informationen und wichtige Sicherheitsdetails finden Sie unter Einschränken der Benutzersichtbarkeit für Projekte und mehr.

Erstellen eines Datenstroms

  1. Melden Sie sich bei Ihrem organization (https://dev.azure.com/{Your_Organization}) an.

  2. Wählen Sie zahnradsymbol Organisationseinstellungen.

    Screenshot der hervorgehobenen Schaltfläche

  3. Wählen Sie Überwachung aus.

    Wählen Sie

Hinweis

Wenn die Überwachung in den Organisationseinstellungen nicht angezeigt wird, ist die Überwachung für Ihre Organisation derzeit nicht aktiviert. Jemand in der Gruppe "Organisationsbesitzer" oder "Project Collection Administrators" (PCAs) muss die Überwachung in Organisationsrichtlinien aktivieren. Wenn Sie über die entsprechenden Berechtigungen verfügen, können Sie dann Ereignisse auf der Seite "Überwachung" anzeigen.

  1. Wechseln Sie zur Registerkarte "Datenströme", und wählen Sie dann "Neuer Datenstrom" aus.

    Wählen Sie

  2. Wählen Sie das Streamziel aus, das Sie konfigurieren möchten, und wählen Sie dann aus den folgenden Anweisungen aus, um den Streamzieltyp einzurichten.

Hinweis

Derzeit können Sie nur 2 Datenströme für jeden Zieltyp haben.

Popupfenster

Einrichten eines Splunk-Datenstroms

Daten werden über den HTTP Event Collector-Endpunkt an Splunk gesendet.

  1. Aktivieren Sie dieses Feature in Splunk. Weitere Informationen finden Sie in dieser Splunk-Dokumentation.

    Nach der Aktivierung sollten Sie über ein HTTP-Ereignissammlertoken und die URL zu Ihrer Splunk-Instanz verfügen. Sie benötigen sowohl das Token als auch die URL zum Erstellen eines Splunk-Datenstroms.

    Hinweis

    Wenn Sie ein neues Ereignissammlertoken in Splunk erstellen, aktivieren Sie nicht "Indizierungsbestätigung aktivieren". Wenn sie aktiviert ist, fließen keine Ereignisse in Splunk ein. Sie können das Token in Splunk bearbeiten, um diese Einstellung zu entfernen.

  2. Geben Sie Ihre Splunk-URL ein, bei der es sich um den Zeiger auf Ihre Splunk-Instanz handelt. Stellen Sie sicher, dass Sie am Ende der URL einen Port angeben. Der Standardport lautet 8088, sodass Ihre URL ähnlich https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 oder https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Geben Sie das Ereignissammlertoken ein, das Sie im Tokenfeld erstellt haben. Das Token wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Es wird empfohlen, das Token regelmäßig zu drehen, was Sie tun können, indem Sie ein neues Token von Splunk abrufen und den Datenstrom bearbeiten.

    Geben Sie Themenendpunkt und Zugriffstaste ein, die Sie zuvor erwähnt haben

  4. Klicken Sie auf Einrichten.

Ihr Datenstrom wird konfiguriert, und Die Ereignisse beginnen innerhalb einer halben Stunde oder weniger auf Splunk einzutreffen.

Einrichten eines Ereignisrasterdatenstroms

  1. Erstellen Sie ein Ereignisrasterthema in Azure.

Hinweis

Wechseln Sie zur Registerkarte "Erweitert ", und stellen Sie sicher, dass das Ereignisschema auf das Ereignisrasterschema festgelegt ist. Andere Schemas werden von Azure DevOps nicht unterstützt.

  1. Notieren Sie sich den "Themenendpunkt" und einen der beiden "Zugriffstasten". Verwenden Sie diese Informationen, um die Ereignisrasterverbindung zu erstellen.

    Azure Event Grid-Informationen

  2. Geben Sie den Themenendpunkt und eine der Zugriffstasten ein. Der Zugriffsschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie die Zugriffstaste regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus Azure Event Grid abrufen und den Datenstrom bearbeiten.

    Eingeben der Arbeitsbereichs-ID und des Primärschlüssels zum Erstellen

Nachdem Sie Ihren Event Grid-Stream konfiguriert haben, können Sie Abonnements im Ereignisraster einrichten, um die Daten fast überall in Azure zu senden.

Einrichten eines Azure Monitor-Protokolldatenstroms

  1. Erstellen Sie einen Log Analytics-Arbeitsbereich.

  2. Öffnen Sie den Arbeitsbereich, und wählen Sie "Agents" aus.

  3. Wählen Sie Log Analytics-Agent-Anweisungen aus, um die Arbeitsbereichs-ID und den Primärschlüssel anzuzeigen.

  4. Notieren Sie sich die Arbeitsbereichs-ID und den Primärschlüssel.

    Notieren sie sich die Arbeitsbereichs-ID und den Primärschlüssel

  5. Richten Sie Ihren Azure Monitor-Protokolldatenstrom ein, indem Sie die gleichen ersten Schritte ausführen, um einen Datenstrom zu erstellen.

  6. Wählen Sie für Zieloptionen Azure Monitor-Protokolle aus.

  7. Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann "Einrichten" aus. Der Primärschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie den Schlüssel regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus Azure Monitor Log abrufen und den Datenstrom bearbeiten.

    Geben Sie arbeitsbereichs-ID und Primärschlüssel ein, und wählen Sie dann

Der Datenstrom ist aktiviert, und neue Ereignisse werden innerhalb einer halben Stunde oder weniger fließen. Sie können auf die AzureDevOpsAuditing-Tabelle verweisen.

Hinweis

Die Standardaufbewahrungszeit für Azure Monitor-Protokolle beträgt nur 30 Tage. Sie können eine längere Aufbewahrung konfigurieren und auswählen, indem Sie die Datenaufbewahrung unter "Nutzung" und "geschätzte Kosten" in Ihren Arbeitsbereichseinstellungen auswählen. Dies verursacht zusätzliche Gebühren. Weitere Informationen finden Sie in der Dokumentation zum Verwalten von Nutzung und Kosten mit Azure Monitor-Protokollen.

Bearbeiten eines Datenstroms

Details zu Ihrem Streamziel können sich im Laufe der Zeit ändern. Um diese Änderungen in Ihren Datenströmen widerzuspiegeln, können Sie sie bearbeiten. Um einen Datenstrom zu bearbeiten, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsstreams verwalten" verfügen.

  1. Wählen Sie neben dem Datenstrom, den Sie bearbeiten möchten, die vertikalen drei Punkte ganz rechts aus, und wählen Sie dann "Datenstrom bearbeiten" aus.

    Datenstrom bearbeiten auswählen

  2. Wählen Sie Speichern.

Für die Bearbeitung verfügbare Parameter unterscheiden sich je Streamtyp.

Deaktivieren eines Datenstroms

  1. Verschieben Sie neben dem Stream, den Sie deaktivieren möchten, den Umschalter "Aktiviert " von "Ein" in "Aus".
    Wenn Datenströme einen Fehler feststellen, werden sie möglicherweise deaktiviert. Sie können Details zum Fehler aus dem Status abrufen, der neben dem Datenstrom angezeigt wird, oder indem Sie "Stream bearbeiten" auswählen. Sie können einen Datenstrom auch manuell deaktivieren und ihn später erneut aktivieren.

    Um den Datenstrom zu deaktivieren, wechseln Sie zu

  2. Wählen Sie Speichern.

Sie können einen deaktivierten Stream erneut aktivieren. Es erfasst alle Überwachungsereignisse, die bis zu den vorherigen sieben Tagen verpasst wurden. Auf diese Weise verpassen Sie keine Ereignisse aus der Dauer, in der der Datenstrom deaktiviert wurde.

Hinweis

Ereignisse, die älter als 7 Tage sind, werden nicht in den Nachholup einbezogen, wenn ein Datenstrom für mehr als 7 Tage deaktiviert ist.

Löschen eines Datenstroms

Um einen Datenstrom zu löschen, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsdatenströme löschen" verfügen.

Wichtig

Nachdem Sie einen Datenstrom gelöscht haben, können Sie ihn nicht mehr abrufen.

  1. Zeigen Sie mit der Maus auf den zu löschenden Datenstrom, und wählen Sie die vertikalen drei Punkte ganz rechts aus.

  2. Wählen Sie "Datenstrom löschen" aus.

    Wählen Sie

  3. Klicken Sie auf Bestätigen.

Das System entfernt Ihren Datenstrom. Alle nicht gesendeten Ereignisse, bevor der Löschvorgang nicht gesendet wird.