Naplózási streamelés létrehozása

  • Cikk

Azure DevOps Services

Megjegyzés:

A naplózás továbbra is nyilvános előzetes verzióban érhető el.

Megtudhatja, hogyan hozhat létre naplózási adatfolyamot, amely adatokat küld más helyekre további feldolgozás céljából. Naplózási adatok küldése más biztonsági incidens- és eseménykezelési (SIEM)-eszközökre, és új lehetőségek megnyitása, például adott események riasztásainak aktiválása, adatok naplózására vonatkozó nézetek létrehozása és anomáliadetektálás végrehajtása. A stream beállítása lehetővé teszi több mint 90 napos naplózási adatok tárolását is, ami az Azure DevOps által a szervezetek számára fenntartott maximális adatmennyiség.

Fontos

A naplózás csak a Microsoft Entra ID által támogatott szervezetek számára érhető el. További információ: Csatlakozás szervezetét a Microsoft Entra-azonosítóra.

A naplózási streamek olyan folyamatot jelölnek, amely naplóeseményeket továbbít az Azure DevOps-szervezetből egy streamcélba. Az új naplózási események félóránként vagy kevesebb mint félóránként vannak csomagolva és streamelve a célokhoz. A konfigurációhoz a következő streamcélok érhetők el.

A privát társított munkaterületek jelenleg nem támogatottak.

Megjegyzés:

A naplózás nem érhető el az Azure DevOps Server helyszíni üzembe helyezéséhez. A naplóstreameket csatlakoztathatja egy helyszíni vagy felhőalapú Splunk-példányhoz, de győződjön meg arról, hogy engedélyezi a bejövő kapcsolatok IP-tartományait. További információ: Engedélyezett címlisták és hálózati kapcsolatok, IP-címek és tartománykorlátozások.

Előfeltételek

Alapértelmezés szerint a Project Collection Rendszergazda istrators (PCA) az egyetlen csoport, amely hozzáfér a naplózási funkcióhoz. A következő engedélyekkel kell rendelkeznie:

  • Naplózási streamek kezelése

  • Napló megtekintése

    Set audit permissions to Allow

Ezek az engedélyek bármely olyan felhasználónak vagy csoportnak adhatóak, akiknek a szervezet streamjeinek kezelésére van szüksége. Emellett a felhasználók vagy csoportok számára is megadható a naplózási streamek törlése engedély.

Stream létrehozása

  1. Jelentkezzen be a szervezetbe (https://dev.azure.com/{yourorganization}).

  2. Válassza a gear iconSzervezeti beállítások lehetőséget.

    Screenshot showing highlighted Organization settings button.

  3. Válassza a Naplózás lehetőséget.

    Select Auditing in Organization settings

Megjegyzés:

Ha nem látja a naplózást a Szervezeti Gépház, akkor a naplózás jelenleg nincs engedélyezve a szervezet számára. A szervezet tulajdonosának vagy a Projektgyűjtemény Rendszergazda istrators (PCA)-csoportnak engedélyeznie kell a naplózást a szervezeti házirendekben. Ezután a Naplózás lapon láthatja az eseményeket, ha rendelkezik a megfelelő engedélyekkel.

  1. Lépjen a adatfolyamok lapra, és válassza az Új stream lehetőséget.

    Select New stream to create your new auditing stream.

  2. Válassza ki a konfigurálni kívánt streamcélt, majd az alábbi utasítások közül választva állítsa be a stream céltípusát.

Megjegyzés:

Jelenleg csak 2 streamet használhat minden céltípushoz.

Create your stream dialog pop out

Splunk stream beállítása

adatfolyamok adatokat küldeni a Splunknak a HTTP-eseménygyűjtő végpontján keresztül.

  1. Engedélyezze ezt a funkciót a Splunkban. További információkért tekintse meg a Splunk dokumentációját.

    Ha engedélyezve van, rendelkeznie kell egy HTTP-eseménygyűjtő jogkivonattal és a Splunk-példány URL-címével. A Splunk-stream létrehozásához a jogkivonatra és az URL-címre is szüksége van.

    Megjegyzés:

    Ha új eseménygyűjtő jogkivonatot hoz létre a Splunkban, ne jelölje be az "Indexelő nyugtázásának engedélyezése" jelölőnégyzetet. Ha be van jelölve, akkor nem történik esemény a Splunkba. A jogkivonatot a Splunkban szerkesztheti a beállítás eltávolításához.

  2. Adja meg a Splunk URL-címét, amely a Splunk-példány mutatója. Győződjön meg arról, hogy az URL-cím végén egy portot ad meg. Az alapértelmezett port a 8088következő, így az URL-cím hasonló lesz a következőhöz https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 : vagy https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Adja meg a jogkivonat mezőjébe a létrehozott eseménygyűjtő tokent. A jogkivonat biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. Javasoljuk, hogy rendszeresen forgásba tegye a jogkivonatot, amelyet úgy tehet meg, hogy új jogkivonatot kap a Splunktól, és szerkeszti a streamet.

    Enter topic endpoint and access key that you noted earlier

  4. Válassza a Beállítás és a stream konfigurálása lehetőséget.

Az események fél órán belül megkezdődik a Splunkon.

Event Grid-stream beállítása

  1. Event Grid-témakör létrehozása az Azure-ban.

  2. Jegyezze fel a "Témakörvégpont" és a két "Hozzáférési kulcs" egyikét. Ez az információ az Event Grid-kapcsolat létrehozásához használható.

    Azure Event Grid information

  3. Adja meg a témakör végpontját és a hozzáférési kulcsok egyikét. A hozzáférési kulcs biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. A hozzáférési kulcs rendszeres elforgatása, amelyet az Azure Event Grid új kulcsának lekérésével és a stream szerkesztésével végezhet el.

    Enter workspace ID and primary key to create

Miután konfigurálta az Event Grid-streamet, beállíthatja az előfizetéseket az Event Griden, hogy szinte bárhol elküldhesse az adatokat az Azure-ban.

Azure Monitor-naplóstream beállítása

  1. Hozzon létre egy Log Analytics-munkaterületet.

  2. Nyissa meg a munkaterületet, és válassza az Ügynökök lehetőséget.

  3. Válassza a Log Analytics-ügynök utasításait a munkaterület azonosítójának és elsődleges kulcsának megtekintéséhez.

  4. Jegyezze fel a munkaterület azonosítóját és az elsődleges kulcsot.

    Make note of workspace ID and primary key

  5. Állítsa be az Azure Monitor-naplóstreamet a stream létrehozásához szükséges kezdeti lépések végrehajtásával.

  6. A célbeállításokhoz válassza az Azure Monitor-naplók lehetőséget.

  7. Adja meg a munkaterület azonosítóját és elsődleges kulcsát, majd válassza a Beállítás lehetőséget. Az elsődleges kulcs biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. Rendszeresen forgassa el a kulcsot, amit az Azure Monitor Naplóból származó új kulcs lekérésével és a stream szerkesztésével végezhet el.

    Enter workspace ID and primary key and then select Set up.

A stream engedélyezve van, és az új események fél órán belül elkezdenek áramlani. Hivatkozhat az AzureDevOpsAuditing táblára.

Megjegyzés:

Az Azure Monitor-naplók alapértelmezett megőrzési ideje csak 30 nap. A hosszabb megőrzés konfigurálásához és kiválasztásához válassza az Adatmegőrzés lehetőséget a Használat és a becsült költségek lehetőség kiválasztásával a munkaterület beállításai között. Ez további díjakat von maga után. További részletekért tekintse meg a dokumentációt a használat és a költségek kezeléséhez az Azure Monitor-naplókkal.

Stream szerkesztése

A streamcél részletei idővel változhatnak. Ha tükrözni szeretné ezeket a módosításokat a streamekben, szerkesztheti őket. Stream szerkesztéséhez győződjön meg arról, hogy rendelkezik a Naplózási adatfolyamok kezelése engedéllyel.

  1. A szerkeszteni kívánt stream mellett jelölje ki a jobb szélen lévő függőleges három pontot, majd válassza a Stream szerkesztése lehetőséget.

    Select Edit stream

  2. Válassza a Mentés parancsot.

A szerkesztéshez elérhető paraméterek streamtípusonként eltérőek.

Stream letiltása

  1. A letiltani kívánt stream mellett helyezze át az Engedélyezett váltógombot Beről Ki állásba.
    Ha a streamek hibába ütköznek, előfordulhat, hogy le lesznek tiltva. A hiba részleteit a stream mellett látható állapotból vagy a Stream szerkesztése lehetőség kiválasztásával kaphatja meg. A streameket manuálisan is letilthatja, majd később újra engedélyezheti.

    Move toggle to Off to disable stream

  2. Válassza a Mentés parancsot.

A letiltott streameket újra engedélyezheti. Minden olyan auditeseményt, amely az előző hét napban kimaradt. Így nem hagyhatja ki a stream letiltásának időtartamából származó eseményeket.

Megjegyzés:

Ha egy stream 7 napnál hosszabb ideig van letiltva, a 7 napnál régebbi események nem szerepelnek a felzárkózásban.

Stream törlése

Stream törléséhez győződjön meg arról, hogy rendelkezik a Naplóstreamek törlése engedéllyel.

Fontos

Miután törölt egy streamet, nem kaphatja vissza.

  1. Mutasson a törölni kívánt streamre, és válassza ki a függőleges három pontot a jobb szélen.

  2. Válassza a Stream törlése lehetőséget.

    Select Delete stream and it's removed

  3. Válassza a Megerősítés lehetőséget.

A stream el lesz távolítva. Azok az események, amelyeket a törlés előtt nem küldtek el, nem lesznek elküldve.