Erstellen von Überwachungsstreaming
Azure DevOps Services
Hinweis
Die Überwachung befindet sich noch in der öffentlichen Vorschau.
Erfahren Sie, wie Sie einen Überwachungsdatenstrom erstellen, der Daten zur weiteren Verarbeitung an andere Speicherorte sendet. Senden Sie Überwachungsdaten an andere SIEM-Tools (Security Incident and Event Management), und öffnen Sie neue Möglichkeiten, z. B. die Möglichkeit, Warnungen für bestimmte Ereignisse auszulösen, Ansichten zu Überwachungsdaten zu erstellen und Anomalieerkennung durchzuführen. Durch das Einrichten eines Datenstroms können Sie außerdem mehr als 90 Tage lang Überwachungsdaten speichern, bei denen es sich um die maximale Datenmenge handelt, die Azure DevOps für Ihre Organisationen speichert.
Wichtig
Die Überwachung ist nur für Organisationen mit Microsoft Entra ID verfügbar. Weitere Informationen finden Sie unter Verknüpfen Ihrer Organisation mit Microsoft Entra ID.
Überwachungsdatenströme stellen eine Pipeline dar, die Überwachungsereignisse aus Ihrer Azure DevOps-Organisation zu einem Streamziel fließt. Jede halbe Stunde oder weniger werden neue Überwachungsereignisse gebündelt und an Ihre Ziele gestreamt. Die folgenden Streamziele sind für die Konfiguration verfügbar.
- Splunk – Stellen Sie eine Verbindung mit lokalen oder cloudbasierten Splunk her.
- Azure Monitor-Protokolle – Senden von Überwachungsprotokollen an Azure Monitor-Protokolle. Protokolle, die in Azure Monitor-Protokollen gespeichert sind, können abgefragt werden und Benachrichtigungen konfiguriert haben. Suchen Sie nach der Tabelle mit dem Namen AzureDevOpsAuditing. Sie können Microsoft Sentinel auch mit Ihrem Arbeitsbereich verbinden.
- Azure Event Grid – Für Szenarien, in denen Ihre Überwachungsprotokolle an eine andere Stelle gesendet werden sollen, unabhängig davon, ob innerhalb oder außerhalb von Azure, können Sie eine Azure Event Grid-Verbindung einrichten.
Private verknüpfte Arbeitsbereiche werden heute nicht unterstützt.
Hinweis
Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Es ist möglich, einen Überwachungsdatenstrom mit einer lokalen oder cloudbasierten Instanz von Splunk zu verbinden, aber stellen Sie sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Weitere Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.
Voraussetzungen
Die Überwachung ist für alle Azure DevOps Services-Organisationen standardmäßig deaktiviert. Stellen Sie sicher, dass nur autorisierte Mitarbeiter Zugriff auf vertrauliche Überwachungsinformationen haben.
Berechtigungen: Mitglied der Gruppe "Project Collection Administrators " (PCA). Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. Oder verfügen Sie über die folgenden Überwachungsberechtigungen pro Benutzer oder Gruppe:
- Verwalten von Überwachungsdatenströmen
- Anzeigen des Überwachungsprotokolls
PCAs können diese Berechtigungen allen Benutzern oder Gruppen zum Verwalten von Organisationsdatenströmen über Sicherheitsberechtigungen > für Organisationseinstellungen> erteilen. PCAs können auch die Berechtigung "Überwachungsdatenströme löschen" zuweisen.
Hinweis
Wenn das Feature "Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projektevorschau beschränken" für die Organisation aktiviert ist, können Benutzer in der Gruppe "Project-Bereichsbezogene Benutzer" die Überwachung nicht anzeigen und eingeschränkte Sichtbarkeit für Organisationseinstellungenseiten haben. Weitere Informationen und wichtige Sicherheitsdetails finden Sie unter Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Erstellen eines Datenstroms
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{Your_Organization}
) an.Wählen Sie Organisationseinstellungen.
Wählen Sie Überwachung aus.
Hinweis
Wenn die Überwachung in den Organisationseinstellungen nicht angezeigt wird, ist die Überwachung für Ihre Organisation derzeit nicht aktiviert. Jemand in der Gruppe "Organisationsbesitzer" oder "Project Collection Administrators" (PCAs) muss die Überwachung in Organisationsrichtlinien aktivieren. Wenn Sie über die entsprechenden Berechtigungen verfügen, können Sie dann Ereignisse auf der Seite "Überwachung" anzeigen.
Wechseln Sie zur Registerkarte "Datenströme", und wählen Sie dann "Neuer Datenstrom" aus.
Wählen Sie das Streamziel aus, das Sie konfigurieren möchten, und wählen Sie dann aus den folgenden Anweisungen aus, um den Streamzieltyp einzurichten.
Hinweis
Derzeit können Sie nur 2 Datenströme für jeden Zieltyp haben.
Einrichten eines Splunk-Datenstroms
Daten werden über den HTTP Event Collector-Endpunkt an Splunk gesendet.
Aktivieren Sie dieses Feature in Splunk. Weitere Informationen finden Sie in dieser Splunk-Dokumentation.
Nach der Aktivierung sollten Sie über ein HTTP-Ereignissammlertoken und die URL zu Ihrer Splunk-Instanz verfügen. Sie benötigen sowohl das Token als auch die URL zum Erstellen eines Splunk-Datenstroms.
Hinweis
Wenn Sie ein neues Ereignissammlertoken in Splunk erstellen, aktivieren Sie nicht "Indizierungsbestätigung aktivieren". Wenn sie aktiviert ist, fließen keine Ereignisse in Splunk ein. Sie können das Token in Splunk bearbeiten, um diese Einstellung zu entfernen.
Geben Sie Ihre Splunk-URL ein, bei der es sich um den Zeiger auf Ihre Splunk-Instanz handelt. Stellen Sie sicher, dass Sie am Ende der URL einen Port angeben. Der Standardport lautet
8088
, sodass Ihre URL ähnlichhttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
oderhttps://prd-p-2k3mp2xhznbs.splunkcloud.com
.Geben Sie das Ereignissammlertoken ein, das Sie im Tokenfeld erstellt haben. Das Token wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Es wird empfohlen, das Token regelmäßig zu drehen, was Sie tun können, indem Sie ein neues Token von Splunk abrufen und den Datenstrom bearbeiten.
Klicken Sie auf Einrichten.
Ihr Datenstrom wird konfiguriert, und Die Ereignisse beginnen innerhalb einer halben Stunde oder weniger auf Splunk einzutreffen.
Einrichten eines Ereignisrasterdatenstroms
- Erstellen Sie ein Ereignisrasterthema in Azure.
Hinweis
Wechseln Sie zur Registerkarte "Erweitert ", und stellen Sie sicher, dass das Ereignisschema auf das Ereignisrasterschema festgelegt ist. Andere Schemas werden von Azure DevOps nicht unterstützt.
Notieren Sie sich den "Themenendpunkt" und einen der beiden "Zugriffstasten". Verwenden Sie diese Informationen, um die Ereignisrasterverbindung zu erstellen.
Geben Sie den Themenendpunkt und eine der Zugriffstasten ein. Der Zugriffsschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie die Zugriffstaste regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus Azure Event Grid abrufen und den Datenstrom bearbeiten.
Nachdem Sie Ihren Event Grid-Stream konfiguriert haben, können Sie Abonnements im Ereignisraster einrichten, um die Daten fast überall in Azure zu senden.
Einrichten eines Azure Monitor-Protokolldatenstroms
Erstellen Sie einen Log Analytics-Arbeitsbereich.
Öffnen Sie den Arbeitsbereich, und wählen Sie "Agents" aus.
Wählen Sie Log Analytics-Agent-Anweisungen aus, um die Arbeitsbereichs-ID und den Primärschlüssel anzuzeigen.
Notieren Sie sich die Arbeitsbereichs-ID und den Primärschlüssel.
Richten Sie Ihren Azure Monitor-Protokolldatenstrom ein, indem Sie die gleichen ersten Schritte ausführen, um einen Datenstrom zu erstellen.
Wählen Sie für Zieloptionen Azure Monitor-Protokolle aus.
Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann "Einrichten" aus. Der Primärschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie den Schlüssel regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus Azure Monitor Log abrufen und den Datenstrom bearbeiten.
Der Datenstrom ist aktiviert, und neue Ereignisse werden innerhalb einer halben Stunde oder weniger fließen. Sie können auf die AzureDevOpsAuditing-Tabelle verweisen.
Hinweis
Die Standardaufbewahrungszeit für Azure Monitor-Protokolle beträgt nur 30 Tage. Sie können eine längere Aufbewahrung konfigurieren und auswählen, indem Sie die Datenaufbewahrung unter "Nutzung" und "geschätzte Kosten" in Ihren Arbeitsbereichseinstellungen auswählen. Dies verursacht zusätzliche Gebühren. Weitere Informationen finden Sie in der Dokumentation zum Verwalten von Nutzung und Kosten mit Azure Monitor-Protokollen.
Bearbeiten eines Datenstroms
Details zu Ihrem Streamziel können sich im Laufe der Zeit ändern. Um diese Änderungen in Ihren Datenströmen widerzuspiegeln, können Sie sie bearbeiten. Um einen Datenstrom zu bearbeiten, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsstreams verwalten" verfügen.
Wählen Sie neben dem Datenstrom, den Sie bearbeiten möchten, die vertikalen drei Punkte ganz rechts aus, und wählen Sie dann "Datenstrom bearbeiten" aus.
Wählen Sie Speichern.
Für die Bearbeitung verfügbare Parameter unterscheiden sich je Streamtyp.
Deaktivieren eines Datenstroms
Verschieben Sie neben dem Stream, den Sie deaktivieren möchten, den Umschalter "Aktiviert " von "Ein" in "Aus".
Wenn Datenströme einen Fehler feststellen, werden sie möglicherweise deaktiviert. Sie können Details zum Fehler aus dem Status abrufen, der neben dem Datenstrom angezeigt wird, oder indem Sie "Stream bearbeiten" auswählen. Sie können einen Datenstrom auch manuell deaktivieren und ihn später erneut aktivieren.Wählen Sie Speichern.
Sie können einen deaktivierten Stream erneut aktivieren. Es erfasst alle Überwachungsereignisse, die bis zu den vorherigen sieben Tagen verpasst wurden. Auf diese Weise verpassen Sie keine Ereignisse aus der Dauer, in der der Datenstrom deaktiviert wurde.
Hinweis
Ereignisse, die älter als 7 Tage sind, werden nicht in den Nachholup einbezogen, wenn ein Datenstrom für mehr als 7 Tage deaktiviert ist.
Löschen eines Datenstroms
Um einen Datenstrom zu löschen, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsdatenströme löschen" verfügen.
Wichtig
Nachdem Sie einen Datenstrom gelöscht haben, können Sie ihn nicht mehr abrufen.
Zeigen Sie mit der Maus auf den zu löschenden Datenstrom, und wählen Sie die vertikalen drei Punkte ganz rechts aus.
Wählen Sie "Datenstrom löschen" aus.
Klicken Sie auf Bestätigen.
Das System entfernt Ihren Datenstrom. Alle nicht gesendeten Ereignisse, bevor der Löschvorgang nicht gesendet wird.