Naplózási streamelés létrehozása
Azure DevOps Services
Feljegyzés
A naplózás továbbra is nyilvános előzetes verzióban érhető el.
Megtudhatja, hogyan hozhat létre naplózási adatfolyamot, amely adatokat küld más helyekre további feldolgozás céljából. Naplózási adatok küldése más biztonsági incidens- és eseménykezelési (SIEM)-eszközökre, és új lehetőségek megnyitása, például adott események riasztásainak aktiválása, adatok naplózására vonatkozó nézetek létrehozása és anomáliadetektálás végrehajtása. A stream beállítása lehetővé teszi több mint 90 napos naplózási adatok tárolását is, ami az Azure DevOps által a szervezetek számára fenntartott maximális adatmennyiség.
Fontos
A naplózás csak a Microsoft Entra ID által támogatott szervezetek számára érhető el. További információ: A szervezet csatlakoztatása a Microsoft Entra-azonosítóhoz.
A naplózási streamek olyan folyamatot jelölnek, amely naplóeseményeket továbbít az Azure DevOps-szervezetből egy streamcélba. Az új naplózási események félóránként vagy kevesebb mint félóránként vannak csomagolva és streamelve a célokhoz. A konfigurációhoz a következő streamcélok érhetők el.
- Splunk – Csatlakozás helyszíni vagy felhőalapú Splunkhoz.
- Azure Monitor-naplók – Naplózási naplók küldése az Azure Monitor-naplókba. Az Azure Monitor-naplókban tárolt naplók lekérdezhetők, és riasztások konfigurálhatók. Keresse meg az AzureDevOpsAuditing nevű táblát. A Microsoft Sentinelt a munkaterülethez is csatlakoztathatja.
- Azure Event Grid – Olyan forgatókönyvek esetén, amikor a naplókat máshol szeretné elküldeni, akár az Azure-on belül, akár azon kívül, beállíthat egy Azure Event Grid-kapcsolatot .
A privát társított munkaterületek jelenleg nem támogatottak.
Feljegyzés
A naplózás nem érhető el az Azure DevOps Server helyszíni üzembe helyezéséhez. A naplóstreameket csatlakoztathatja egy helyszíni vagy felhőalapú Splunk-példányhoz, de győződjön meg arról, hogy engedélyezi a bejövő kapcsolatok IP-tartományait. További információ: Engedélyezett címlisták és hálózati kapcsolatok, IP-címek és tartománykorlátozások.
Előfeltételek
A naplózás alapértelmezés szerint ki van kapcsolva minden Azure DevOps Services-szervezet esetében. Győződjön meg arról, hogy csak az arra jogosult személyek férhetnek hozzá a bizalmas naplózási információkhoz.
Engedélyek: Legyen tagja a Projektgyűjteménygazdák (PCA) csoportnak (a szervezet tulajdonosai automatikusan ennek a csoportnak a tagjai), vagy felhasználónként vagy csoportonként a következő naplózási engedélyekkel rendelkezzenek:
- Naplózási streamek kezelése
- Napló megtekintése
A pca-k ezeket az engedélyeket bármely felhasználónak vagy csoportnak megadhatja a szervezeti streamek szervezeti beállítások>> biztonsági engedélyekkel történő kezeléséhez. A PCA-k a Delete audit streams engedélyt is hozzárendelhetik.
Feljegyzés
Ha a felhasználó láthatóságának és együttműködésének korlátozása adott projektekhez – előzetes verziójú funkció engedélyezve van a szervezet számára, a Projekt hatókörű felhasználók csoport felhasználói nem tekinthetik meg a naplózást, és korlátozottan láthatják a Szervezeti beállítások lapokat. További információkért és a biztonsággal kapcsolatos fontos részletekért tekintse meg a projektek felhasználói láthatóságának korlátozását ismertető cikket.
Stream létrehozása
Jelentkezzen be a szervezetébe (
https://dev.azure.com/{Your_Organization}
).Válassza a Szervezeti beállítások lehetőséget.
Válassza a Naplózás lehetőséget.
Feljegyzés
Ha nem látja a naplózást a szervezeti beállítások között, akkor a naplózás jelenleg nincs engedélyezve a szervezet számára. A szervezet tulajdonosának vagy a Projektgyűjteménygazdák (PCA-k) csoportnak engedélyeznie kell a naplózást a szervezeti házirendekben. Ezután a Naplózás lapon láthatja az eseményeket, ha rendelkezik a megfelelő engedélyekkel.
Nyissa meg a Streamek lapot, majd válassza az Új stream lehetőséget.
Válassza ki a konfigurálni kívánt streamcélt, majd az alábbi utasítások közül választva állítsa be a stream céltípusát.
Feljegyzés
Jelenleg csak 2 streamet használhat minden céltípushoz.
Splunk stream beállítása
A streamek adatokat küldenek a Splunknak a HTTP-eseménygyűjtő végpontján keresztül.
Engedélyezze ezt a funkciót a Splunkban. További információkért tekintse meg a Splunk dokumentációját.
Ha engedélyezve van, rendelkeznie kell egy HTTP-eseménygyűjtő jogkivonattal és a Splunk-példány URL-címével. A Splunk-stream létrehozásához a jogkivonatra és az URL-címre is szüksége van.
Feljegyzés
Ha új eseménygyűjtő jogkivonatot hoz létre a Splunkban, ne jelölje be az "Indexelő nyugtázásának engedélyezése" jelölőnégyzetet. Ha be van jelölve, akkor nem történik esemény a Splunkba. A jogkivonatot a Splunkban szerkesztheti a beállítás eltávolításához.
Adja meg a Splunk URL-címét, amely a Splunk-példány mutatója. Győződjön meg arról, hogy az URL-cím végén egy portot ad meg. Az alapértelmezett port a
8088
következő, így az URL-cím hasonló lesz a következőhözhttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
: vagyhttps://prd-p-2k3mp2xhznbs.splunkcloud.com
.Adja meg a jogkivonat mezőjébe a létrehozott eseménygyűjtő tokent. A jogkivonat biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. Javasoljuk, hogy rendszeresen forgásba tegye a jogkivonatot, amelyet úgy tehet meg, hogy új jogkivonatot kap a Splunktól, és szerkeszti a streamet.
Válassza a Beállítás lehetőséget.
A stream konfigurálva lesz, és az események fél órán belül megkezdődik a Splunkon.
Event Grid-stream beállítása
- Event Grid-témakör létrehozása az Azure-ban.
Feljegyzés
Lépjen a Speciális lapra, és győződjön meg arról, hogy az eseményséma Event Grid-sémára van állítva. Az Azure DevOps más sémákat nem támogat.
Jegyezze fel a "Témakörvégpont" és a két "Hozzáférési kulcs" egyikét. Ez az információ az Event Grid-kapcsolat létrehozásához használható.
Adja meg a témakör végpontját és a hozzáférési kulcsok egyikét. A hozzáférési kulcs biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. A hozzáférési kulcs rendszeres elforgatása, amelyet az Azure Event Grid új kulcsának lekérésével és a stream szerkesztésével végezhet el.
Miután konfigurálta az Event Grid-streamet, beállíthatja az előfizetéseket az Event Griden, hogy szinte bárhol elküldhesse az adatokat az Azure-ban.
Azure Monitor-naplóstream beállítása
Hozzon létre egy Log Analytics-munkaterületet.
Nyissa meg a munkaterületet, és válassza az Ügynökök lehetőséget.
Válassza a Log Analytics-ügynök utasításait a munkaterület azonosítójának és elsődleges kulcsának megtekintéséhez.
Jegyezze fel a munkaterület azonosítóját és az elsődleges kulcsot.
Állítsa be az Azure Monitor-naplóstreamet a stream létrehozásához szükséges kezdeti lépések végrehajtásával.
A célbeállításokhoz válassza az Azure Monitor-naplók lehetőséget.
Adja meg a munkaterület azonosítóját és elsődleges kulcsát, majd válassza a Beállítás lehetőséget. Az elsődleges kulcs biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. Rendszeresen forgassa el a kulcsot, amit az Azure Monitor Naplóból származó új kulcs lekérésével és a stream szerkesztésével végezhet el.
A stream engedélyezve van, és az új események fél órán belül elkezdenek áramlani. Hivatkozhat az AzureDevOpsAuditing táblára.
Feljegyzés
Az Azure Monitor-naplók alapértelmezett megőrzési ideje csak 30 nap. A hosszabb megőrzés konfigurálásához és kiválasztásához válassza az Adatmegőrzés lehetőséget a Használat és a becsült költségek lehetőség kiválasztásával a munkaterület beállításai között. Ez további díjakat von maga után. További részletekért tekintse meg a dokumentációt a használat és a költségek kezeléséhez az Azure Monitor-naplókkal.
Stream szerkesztése
A streamcél részletei idővel változhatnak. Ha tükrözni szeretné ezeket a módosításokat a streamekben, szerkesztheti őket. Stream szerkesztéséhez győződjön meg arról, hogy rendelkezik a Naplózási adatfolyamok kezelése engedéllyel.
A szerkeszteni kívánt stream mellett jelölje ki a jobb szélen lévő függőleges három pontot, majd válassza a Stream szerkesztése lehetőséget.
Válassza a Mentés lehetőséget.
A szerkesztéshez elérhető paraméterek streamtípusonként eltérőek.
Stream letiltása
A letiltani kívánt stream mellett helyezze át az Engedélyezett váltógombot Beről Ki állásba.
Ha a streamek hibába ütköznek, előfordulhat, hogy le lesznek tiltva. A hiba részleteit a stream mellett látható állapotból vagy a Stream szerkesztése lehetőség kiválasztásával kaphatja meg. A streameket manuálisan is letilthatja, majd később újra engedélyezheti.Válassza a Mentés lehetőséget.
A letiltott streameket újra engedélyezheti. Minden olyan auditeseményt, amely az előző hét napban kimaradt. Így nem hagyhatja ki a stream letiltásának időtartamából származó eseményeket.
Feljegyzés
A 7 napnál régebbi események nem szerepelnek a felzárkózásban, ha egy stream 7 napnál hosszabb ideig le van tiltva.
Stream törlése
Stream törléséhez győződjön meg arról, hogy rendelkezik a Naplóstreamek törlése engedéllyel.
Fontos
Miután törölt egy streamet, nem kaphatja vissza.
Mutasson a törölni kívánt streamre, és válassza ki a függőleges három pontot a jobb szélen.
Válassza a Stream törlése lehetőséget.
Válassza a Megerősítés elemet.
A rendszer eltávolítja a streamet. A törlés előtti nem küldött események nem lesznek elküldve.