Erstellen von Überwachungsstreaming

Azure DevOps Services

Hinweis

Die Überwachung befindet sich noch in der öffentlichen Vorschau.

Erfahren Sie, wie Sie einen Überwachungsdatenstrom erstellen, der Daten zur weiteren Verarbeitung an andere Speicherorte sendet. Senden Sie Überwachungsdaten an andere SIEM-Tools (Security Incident and Event Management), und öffnen Sie neue Möglichkeiten, z. B. die Möglichkeit, Warnungen für bestimmte Ereignisse auszulösen, Ansichten zu Überwachungsdaten zu erstellen und Anomalieerkennung durchzuführen. Durch das Einrichten eines Datenstroms können Sie außerdem mehr als 90 Tage lang Überwachungsdaten speichern, bei denen es sich um die maximale Datenmenge handelt, die Azure DevOps für Ihre Organisationen speichert.

Wichtig

Die Überwachung ist nur für Organisationen verfügbar, die von der Microsoft Entra-ID unterstützt werden. Weitere Informationen finden Sie unter Verknüpfen Ihrer Organisation mit Microsoft Entra ID.

Überwachungsdatenströme stellen eine Pipeline dar, die Überwachungsereignisse aus Ihrer Azure DevOps-Organisation zu einem Streamziel fließt. Jede halbe Stunde oder weniger werden neue Überwachungsereignisse gebündelt und an Ihre Ziele gestreamt. Die folgenden Streamziele sind für die Konfiguration verfügbar.

• Splunk – Verbinden zu lokalem oder cloudbasiertem Splunk.
• Azure Monitor-Protokolle – Senden von Überwachungsprotokollen an Azure Monitor-Protokolle. Protokolle, die in Azure Monitor-Protokollen gespeichert sind, können abgefragt werden und Benachrichtigungen konfiguriert haben. Suchen Sie nach der Tabelle mit dem Namen AzureDevOpsAuditing. Sie können Microsoft Sentinel auch mit Ihrem Arbeitsbereich verbinden.
• Azure Event Grid – Für Szenarien, in denen Ihre Überwachungsprotokolle an eine andere Stelle gesendet werden sollen, unabhängig davon, ob innerhalb oder außerhalb von Azure, können Sie eine Azure Event Grid-Verbindung einrichten.

Private verknüpfte Arbeitsbereiche werden heute nicht unterstützt.

Hinweis

Die Überwachung ist für lokale Bereitstellungen von Azure DevOps Server nicht verfügbar. Es ist möglich, einen Überwachungsdatenstrom mit einer lokalen oder cloudbasierten Instanz von Splunk zu verbinden, aber stellen Sie sicher, dass Sie IP-Bereiche für eingehende Verbindungen zulassen. Weitere Informationen finden Sie unter Zulässige Adresslisten und Netzwerkverbindungen, IP-Adressen und Bereichseinschränkungen.

Voraussetzungen

Standardmäßig sind Project-Sammlungsadministratoren (PCAs) die einzige Gruppe, die Zugriff auf das Überwachungsfeature hat. Sie benötigen die folgenden Berechtigungen:

• Verwalten von Überwachungsdatenströmen

• Anzeigen des Überwachungsprotokolls

  

Diese Berechtigungen können allen Benutzern oder Gruppen erteilt werden, die Sie über die Datenströme Ihrer Organisation verfügen möchten. Darüber hinaus gibt es auch eine Berechtigung zum Löschen von Überwachungsdatenströmen , die Sie für Benutzer oder Gruppen hinzufügen können.

Erstellen eines Datenstroms

1. Melden Sie sich bei Ihrem organization (https://dev.azure.com/{yourorganization}) an.

2. Wählen Sie Organisationseinstellungen aus.

   

3. Wählen Sie Überwachung aus.

   

Hinweis

Wenn die Überwachung in organisation Einstellungen nicht angezeigt wird, ist die Überwachung derzeit nicht für Ihre Organisation aktiviert. Jemand in der Gruppe "Organisationsbesitzer" oder "Project Collection Administrators" (PCAs) muss die Überwachung in Organisationsrichtlinien aktivieren. Wenn Sie über die entsprechenden Berechtigungen verfügen, können Sie dann Ereignisse auf der Seite "Überwachung" anzeigen.

4. Wechseln Sie zur Registerkarte "Datenströme", und wählen Sie dann "Neuer Datenstrom" aus.

   

5. Wählen Sie das Streamziel aus, das Sie konfigurieren möchten, und wählen Sie dann aus den folgenden Anweisungen aus, um den Streamzieltyp einzurichten.

   • Splunk
   • Event Grid
   • Azure Monitor-Protokoll

Hinweis

Derzeit können Sie nur 2 Datenströme für jeden Zieltyp haben.

Einrichten eines Splunk-Datenstroms

Daten werden über den HTTP Event Collector-Endpunkt an Splunk gesendet.

1. Aktivieren Sie dieses Feature in Splunk. Weitere Informationen finden Sie in dieser Splunk-Dokumentation.

   Nachdem sie aktiviert ist, sollten Sie über ein HTTP-Ereignissammlertoken und die URL zu Ihrer Splunk-Instanz verfügen. Sie benötigen sowohl das Token als auch die URL zum Erstellen eines Splunk-Datenstroms.

   Hinweis

   Wenn Sie ein neues Ereignissammlertoken in Splunk erstellen, aktivieren Sie nicht "Indizierungsbestätigung aktivieren". Wenn sie aktiviert ist, fließen keine Ereignisse in Splunk ein. Sie können das Token in Splunk bearbeiten, um diese Einstellung zu entfernen.

2. Geben Sie Ihre Splunk-URL ein, bei der es sich um den Zeiger auf Ihre Splunk-Instanz handelt. Stellen Sie sicher, dass Sie am Ende der URL einen Port angeben. Der Standardport lautet 8088, sodass Ihre URL ähnlich https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 oder https://prd-p-2k3mp2xhznbs.splunkcloud.com.

3. Geben Sie das Ereignissammlertoken ein, das Sie im Tokenfeld erstellt haben. Das Token wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Es wird empfohlen, das Token regelmäßig zu drehen, was Sie tun können, indem Sie ein neues Token von Splunk abrufen und den Datenstrom bearbeiten.

   

4. Wählen Sie "Einrichten" aus, und konfigurieren Sie den Datenstrom.

Ereignisse beginnen innerhalb einer halben Stunde auf Splunk einzutreffen.

Einrichten eines Ereignisrasterdatenstroms

1. Erstellen Sie ein Ereignisrasterthema in Azure.

2. Notieren Sie sich den "Themenendpunkt" und einen der beiden "Zugriffstasten". Verwenden Sie diese Informationen, um die Ereignisrasterverbindung zu erstellen.

   

3. Geben Sie den Themenendpunkt und eine der Zugriffstasten ein. Der Zugriffsschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie die Zugriffstaste regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus Azure Event Grid abrufen und den Datenstrom bearbeiten.

   

Nachdem Sie Ihren Event Grid-Stream konfiguriert haben, können Sie Abonnements im Ereignisraster einrichten, um die Daten fast überall in Azure zu senden.

Einrichten eines Azure Monitor-Protokolldatenstroms

1. Erstellen Sie einen Log Analytics-Arbeitsbereich.

2. Öffnen Sie den Arbeitsbereich, und wählen Sie "Agents" aus.

3. Wählen Sie Log Analytics-Agent-Anweisungen aus, um die Arbeitsbereichs-ID und den Primärschlüssel anzuzeigen.

4. Notieren Sie sich die Arbeitsbereichs-ID und den Primärschlüssel.

   

5. Richten Sie Ihren Azure Monitor-Protokolldatenstrom ein, indem Sie die gleichen ersten Schritte ausführen, um einen Datenstrom zu erstellen.

6. Wählen Sie für Zieloptionen Azure Monitor-Protokolle aus.

7. Geben Sie die Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann "Einrichten" aus. Der Primärschlüssel wird sicher in Azure DevOps gespeichert und nie wieder auf der Benutzeroberfläche angezeigt. Drehen Sie den Schlüssel regelmäßig, was Sie tun können, indem Sie einen neuen Schlüssel aus Azure Monitor Log abrufen und den Datenstrom bearbeiten.

   

Der Datenstrom ist aktiviert, und neue Ereignisse werden innerhalb einer halben Stunde oder weniger fließen. Sie können auf die AzureDevOpsAuditing-Tabelle verweisen.

Hinweis

Die Standardaufbewahrungszeit für Azure Monitor-Protokolle beträgt nur 30 Tage. Sie können eine längere Aufbewahrung konfigurieren und auswählen, indem Sie die Datenaufbewahrung unter "Nutzung" und "geschätzte Kosten" in Ihren Arbeitsbereichseinstellungen auswählen. Dies verursacht zusätzliche Gebühren. Weitere Informationen finden Sie in der Dokumentation zum Verwalten von Nutzung und Kosten mit Azure Monitor-Protokollen.

Bearbeiten eines Datenstroms

Details zu Ihrem Streamziel können sich im Laufe der Zeit ändern. Um diese Änderungen in Ihren Datenströmen widerzuspiegeln, können Sie sie bearbeiten. Um einen Datenstrom zu bearbeiten, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsstreams verwalten" verfügen.

1. Wählen Sie neben dem Datenstrom, den Sie bearbeiten möchten, die vertikalen drei Punkte ganz rechts aus, und wählen Sie dann "Datenstrom bearbeiten" aus.

   

2. Wählen Sie Speichern aus.

Für die Bearbeitung verfügbare Parameter unterscheiden sich je Streamtyp.

Deaktivieren eines Datenstroms

1. Verschieben Sie neben dem Stream, den Sie deaktivieren möchten, den Umschalter "Aktiviert " von "Ein" in "Aus".
   Wenn Datenströme einen Fehler feststellen, werden sie möglicherweise deaktiviert. Sie können Details zum Fehler aus dem Status abrufen, der neben dem Datenstrom angezeigt wird, oder indem Sie "Stream bearbeiten" auswählen. Sie können einen Datenstrom auch manuell deaktivieren und ihn später erneut aktivieren.

   

2. Wählen Sie Speichern aus.

Sie können einen deaktivierten Stream erneut aktivieren. Es erfasst alle Überwachungsereignisse, die bis zu den vorherigen sieben Tagen verpasst wurden. Auf diese Weise verpassen Sie keine Ereignisse aus der Dauer, in der der Datenstrom deaktiviert wurde.

Hinweis

Wenn ein Datenstrom länger als 7 Tage deaktiviert ist, werden Ereignisse, die älter als 7 Tage sind, nicht in den Nachholzugriff einbezogen.

Löschen eines Datenstroms

Um einen Datenstrom zu löschen, stellen Sie sicher, dass Sie über die Berechtigung "Überwachungsdatenströme löschen" verfügen.

Wichtig

Nachdem Sie einen Datenstrom gelöscht haben, können Sie ihn nicht mehr abrufen.

1. Zeigen Sie mit der Maus auf den zu löschenden Datenstrom, und wählen Sie die vertikalen drei Punkte ganz rechts aus.

2. Wählen Sie "Datenstrom löschen" aus.

   

3. Wählen Sie Bestätigen aus.

Ihr Datenstrom wird entfernt. Alle Ereignisse, die noch nicht vor dem Löschen gesendet wurden, werden nicht gesendet.

Verwandte Artikel

• Überprüfen des Überwachungsprotokolls
• Exportieren von Überwachungsereignissen
• Liste der Überwachungsereignisse
• Einführung in Azure DevOps Audit Stream im Azure DevOps-Blog