创建审核流

Azure DevOps Services

注意

审核仍处于公共预览状态。

了解如何创建审核流,该流将数据发送到其他位置以供进一步处理。 将审核数据发送到其他安全事件和事件管理(SIEM)工具,并打开新的可能性,例如触发特定事件的警报、创建审核数据的视图和执行异常情况检测。 设置流还允许存储超过 90 天的审核数据,这是 Azure DevOps 为组织保留的最大数据量。

重要

审核仅适用于 Microsoft Entra ID 支持的组织。 有关详细信息,请参阅将组织连接到 Microsoft Entra ID

审核流表示将审核事件从 Azure DevOps 组织流式传输到流目标的管道。 每半小时或更短一次,新的审核事件将捆绑并流式传输到目标。 以目标可用于配置。

  • Splunk – 连接到本地或基于云的 Splunk。
  • Azure Monitor 日志 - 将审核日志发送到 Azure Monitor 日志。 可以查询 Azure Monitor 日志中存储的日志并配置警报。 查找名为 AzureDevOpsAuditing 的表。 还可以将Microsoft Sentinel 连接到工作区。
  • Azure 事件网格 – 对于希望将审核日志发送到其他位置(无论是在 Azure 内部还是外部)的方案,可以设置Azure 事件网格连接。

目前不支持专用链接工作区。

注意

审核不适用于Azure DevOps Server的本地部署。 可以将审核流连接到本地或基于云的 Splunk 实例,但请确保允许入站连接的 IP 范围。 有关详细信息,请参阅 允许的地址列表和网络连接、IP 地址和范围限制

先决条件

默认情况下,所有 Azure DevOps Services 组织都会关闭审核。 确保只有经过授权的人员有权访问敏感的审核信息。

权限:是项目集合管理员(PCA)组的成员。 组织所有者自动是此组的成员。 或者,每个用户或组具有以下审核权限:

  • 管理审核流
  • 查看审核日志

屏幕截图显示“允许”的设置审核权限。

PCA 可以向任何用户或组授予这些权限,以便通过组织设置>安全>权限管理组织流。 PCA 还可以分配 “删除审核流” 权限。

注意

如果为组织启用了“将用户可见性和协作限制为特定项目预览”功能,则“项目范围用户组”中的用户无法查看审核,并且对“组织设置”页面具有有限的可见性。 有关详细信息和与安全相关的重要详细信息,请参阅 限制项目的用户可见性等

创建流

  1. (https://dev.azure.com/{Your_Organization}) 登录到组织。

  2. 选择 齿轮图标 组织设置

    显示突出显示的“组织设置”按钮的屏幕截图。

  3. 选择“ 审核”。

    在组织设置中选择“审核”

注意

如果在“组织设置”中看不到 “审核 ”,则当前未为组织启用审核。 组织所有者或项目集合管理员(PCA)组中的人员必须在组织策略中启用审核。 然后,如果具有适当的权限,你将能够在“审核”页上看到事件。

  1. 转到 “流 ”选项卡,然后选择“ 新建流”。

    选择“新建流”以创建新的审核流。

  2. 选择要配置的流目标,然后从以下说明中选择设置流目标类型。

注意

目前,每个目标类型只能有 2 个流。

“创建流”对话框弹出

设置 Splunk 流

流通过 HTTP 事件收集器终结点将数据发送到 Splunk。

  1. 在 Splunk 中启用此功能。 有关详细信息,请参阅此 Splunk 文档

    启用后,应具有 HTTP 事件收集器令牌和 Splunk 实例的 URL。 需要令牌和 URL 才能创建 Splunk 流。

    注意

    在 Splunk 中创建新的事件收集器令牌时,请不要检查“启用索引器确认”。 如果已选中,则不会将事件流向 Splunk。 可以在 Splunk 中编辑令牌以删除该设置。

  2. 输入 Splunk URL,即指向 Splunk 实例的指针。 确保指定 URL 末尾的端口。 默认端口为 8088,因此 URL 类似于 https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088https://prd-p-2k3mp2xhznbs.splunkcloud.com

  3. 在令牌字段中输入创建的事件收集器令牌。 令牌安全地存储在 Azure DevOps 中,永远不会在 UI 中再次显示。 建议定期轮换令牌,方法是从 Splunk 获取新令牌并编辑流。

    输入前面提到的主题终结点和访问密钥

  4. 选择“设置”。

流已配置,事件将在半小时内或更短时间内开始到达 Splunk。

设置事件网格流

  1. 在 Azure 上创建事件网格主题。

注意

转到 “高级 ”选项卡,确保事件架构设置为 事件网格架构。 Azure DevOps 不支持其他架构。

  1. 记下“主题终结点”和两个“访问密钥”之一。 使用此信息创建事件网格连接。

    Azure 事件网格信息

  2. 输入主题终结点和其中一个访问密钥。 访问密钥安全地存储在 Azure DevOps 中,永远不会在 UI 中再次显示。 定期轮换访问密钥,可以通过从Azure 事件网格获取新密钥并编辑流来执行此操作

    输入要创建的工作区 ID 和主键

配置事件网格流后,可以在事件网格上设置订阅,以几乎在 Azure 中的任何位置发送数据。

设置 Azure Monitor 日志流

  1. 创建 Log Analytics 工作区

  2. 打开工作区并选择 “代理”。

  3. 选择 Log Analytics 代理说明 以查看工作区 ID 和主密钥。

  4. 记下工作区 ID 和主键。

    记下工作区 ID 和主键

  5. 通过执行相同的初始步骤创建流来设置 Azure Monitor 日志流。

  6. 对于目标选项,请选择 “Azure Monitor 日志”。

  7. 输入工作区 ID 和主键,然后选择“ 设置”。 主密钥安全地存储在 Azure DevOps 中,永远不会在 UI 中再次显示。 定期轮换密钥,可以通过从 Azure Monitor 日志获取新密钥并编辑流来执行此操作。

    输入工作区 ID 和主键,然后选择“设置”。

启用流,新事件将在半小时内或更短时间内开始流动。 可以引用 AzureDevOpsAuditing 表。

注意

Azure Monitor 日志的默认保留时间为 30 天。 可以通过在工作区设置中选择“使用情况”和估计成本下的“数据保留期”来配置和选择更长的保留期。 这会产生额外的费用。 有关 更多详细信息,请查看文档 以使用 Azure Monitor 日志管理使用情况和成本。

编辑流

有关流目标的详细信息可能会随时间而变化。 若要在流中反映这些更改,可以编辑这些更改。 若要编辑流,请确保你具有 “管理审核流 ”权限。

  1. 在要编辑的流旁边,选择最右侧的垂直三点,然后选择“ 编辑流”。

    选择“编辑流”

  2. 选择“保存”。

可用于编辑的参数因流类型而异。

禁用流

  1. 在要禁用的流旁边,将 “已启用” 开关从 “打开 ”移动到 “关闭”。
    当流遇到故障时,它们可能会被禁用。 可以从流旁显示的状态或选择“编辑流获取有关失败的详细信息。 还可以手动禁用流,然后稍后重新启用该流。

    将切换开关移动到“关闭”以禁用流

  2. 选择“保存”。

可以重新启用禁用的流。 它赶上了前七天错过的任何审核事件。 这样就不会错过流禁用持续时间中的任何事件。

注意

如果已禁用流超过 7 天,则超过 7 天的事件不包括在追赶中。

删除流

若要删除流,请确保具有 “删除审核流 ”权限。

重要

删除流后,便无法将其恢复。

  1. 将鼠标悬停在要删除的流上,然后选择最右侧的垂直三点。

  2. 选择“ 删除流”。

    选择“删除流”并将其删除

  3. 选择“确认”。

系统删除流。 删除前的任何未发送事件不会发送。