Megosztás a következőn keresztül:


Naplózási streamelés létrehozása

Azure DevOps Services

Feljegyzés

A naplózás továbbra is nyilvános előzetes verzióban érhető el.

Megtudhatja, hogyan hozhat létre naplózási adatfolyamot, amely adatokat küld más helyekre további feldolgozás céljából. Naplózási adatok küldése más biztonsági incidens- és eseménykezelési (SIEM)-eszközökre, és új lehetőségek megnyitása, például adott események riasztásainak aktiválása, adatok naplózására vonatkozó nézetek létrehozása és anomáliadetektálás végrehajtása. A stream beállítása lehetővé teszi több mint 90 napos naplózási adatok tárolását is, ami az Azure DevOps által a szervezetek számára fenntartott maximális adatmennyiség.

Fontos

A naplózás csak a Microsoft Entra ID által támogatott szervezetek számára érhető el. További információ: A szervezet csatlakoztatása a Microsoft Entra-azonosítóhoz.

A naplózási streamek olyan folyamatot jelölnek, amely naplóeseményeket továbbít az Azure DevOps-szervezetből egy streamcélba. Az új naplózási események félóránként vagy kevesebb mint félóránként vannak csomagolva és streamelve a célokhoz. A konfigurációhoz a következő streamcélok érhetők el.

  • Splunk – Csatlakozás helyszíni vagy felhőalapú Splunkhoz.
  • Azure Monitor-naplók – Naplózási naplók küldése az Azure Monitor-naplókba. Az Azure Monitor-naplókban tárolt naplók lekérdezhetők, és riasztások konfigurálhatók. Keresse meg az AzureDevOpsAuditing nevű táblát. A Microsoft Sentinelt a munkaterülethez is csatlakoztathatja.
  • Azure Event Grid – Olyan forgatókönyvek esetén, amikor a naplókat máshol szeretné elküldeni, akár az Azure-on belül, akár azon kívül, beállíthat egy Azure Event Grid-kapcsolatot .

A privát társított munkaterületek jelenleg nem támogatottak.

Feljegyzés

A naplózás nem érhető el az Azure DevOps Server helyszíni üzembe helyezéséhez. A naplóstreameket csatlakoztathatja egy helyszíni vagy felhőalapú Splunk-példányhoz, de győződjön meg arról, hogy engedélyezi a bejövő kapcsolatok IP-tartományait. További információ: Engedélyezett címlisták és hálózati kapcsolatok, IP-címek és tartománykorlátozások.

Előfeltételek

A naplózás alapértelmezés szerint ki van kapcsolva minden Azure DevOps Services-szervezet esetében. Győződjön meg arról, hogy csak az arra jogosult személyek férhetnek hozzá a bizalmas naplózási információkhoz.

Engedélyek: Legyen tagja a Projektgyűjteménygazdák (PCA) csoportnak (a szervezet tulajdonosai automatikusan ennek a csoportnak a tagjai), vagy felhasználónként vagy csoportonként a következő naplózási engedélyekkel rendelkezzenek:

  • Naplózási streamek kezelése
  • Napló megtekintése

Képernyőkép az Engedélyezés beállításnapló-engedélyekkel.

A pca-k ezeket az engedélyeket bármely felhasználónak vagy csoportnak megadhatja a szervezeti streamek szervezeti beállítások>> biztonsági engedélyekkel történő kezeléséhez. A PCA-k a Delete audit streams engedélyt is hozzárendelhetik.

Feljegyzés

Ha a felhasználó láthatóságának és együttműködésének korlátozása adott projektekhez – előzetes verziójú funkció engedélyezve van a szervezet számára, a Projekt hatókörű felhasználók csoport felhasználói nem tekinthetik meg a naplózást, és korlátozottan láthatják a Szervezeti beállítások lapokat. További információkért és a biztonsággal kapcsolatos fontos részletekért tekintse meg a projektek felhasználói láthatóságának korlátozását ismertető cikket.

Stream létrehozása

  1. Jelentkezzen be a szervezetébe (https://dev.azure.com/{Your_Organization}).

  2. Válassza a fogaskerék ikon Szervezeti beállítások lehetőséget.

    Képernyőkép a kiemelt Szervezeti beállítások gombról.

  3. Válassza a Naplózás lehetőséget.

    Válassza a Naplózás lehetőséget a Szervezeti beállítások között

Feljegyzés

Ha nem látja a naplózást a szervezeti beállítások között, akkor a naplózás jelenleg nincs engedélyezve a szervezet számára. A szervezet tulajdonosának vagy a Projektgyűjteménygazdák (PCA-k) csoportnak engedélyeznie kell a naplózást a szervezeti házirendekben. Ezután a Naplózás lapon láthatja az eseményeket, ha rendelkezik a megfelelő engedélyekkel.

  1. Nyissa meg a Streamek lapot, majd válassza az Új stream lehetőséget.

    Válassza az Új stream lehetőséget az új naplózási stream létrehozásához.

  2. Válassza ki a konfigurálni kívánt streamcélt, majd az alábbi utasítások közül választva állítsa be a stream céltípusát.

Feljegyzés

Jelenleg csak 2 streamet használhat minden céltípushoz.

A stream létrehozása párbeszédpanel előugró ablak

Splunk stream beállítása

A streamek adatokat küldenek a Splunknak a HTTP-eseménygyűjtő végpontján keresztül.

  1. Engedélyezze ezt a funkciót a Splunkban. További információkért tekintse meg a Splunk dokumentációját.

    Ha engedélyezve van, rendelkeznie kell egy HTTP-eseménygyűjtő jogkivonattal és a Splunk-példány URL-címével. A Splunk-stream létrehozásához a jogkivonatra és az URL-címre is szüksége van.

    Feljegyzés

    Ha új eseménygyűjtő jogkivonatot hoz létre a Splunkban, ne jelölje be az "Indexelő nyugtázásának engedélyezése" jelölőnégyzetet. Ha be van jelölve, akkor nem történik esemény a Splunkba. A jogkivonatot a Splunkban szerkesztheti a beállítás eltávolításához.

  2. Adja meg a Splunk URL-címét, amely a Splunk-példány mutatója. Győződjön meg arról, hogy az URL-cím végén egy portot ad meg. Az alapértelmezett port a 8088következő, így az URL-cím hasonló lesz a következőhöz https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088 : vagy https://prd-p-2k3mp2xhznbs.splunkcloud.com.

  3. Adja meg a jogkivonat mezőjébe a létrehozott eseménygyűjtő tokent. A jogkivonat biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. Javasoljuk, hogy rendszeresen forgásba tegye a jogkivonatot, amelyet úgy tehet meg, hogy új jogkivonatot kap a Splunktól, és szerkeszti a streamet.

    Adja meg a korábban feljegyzett témakörvégpontot és hozzáférési kulcsot

  4. Válassza a Beállítás lehetőséget.

A stream konfigurálva lesz, és az események fél órán belül megkezdődik a Splunkon.

Event Grid-stream beállítása

  1. Event Grid-témakör létrehozása az Azure-ban.

Feljegyzés

Lépjen a Speciális lapra, és győződjön meg arról, hogy az eseményséma Event Grid-sémára van állítva. Az Azure DevOps más sémákat nem támogat.

  1. Jegyezze fel a "Témakörvégpont" és a két "Hozzáférési kulcs" egyikét. Ez az információ az Event Grid-kapcsolat létrehozásához használható.

    Az Azure Event Grid adatai

  2. Adja meg a témakör végpontját és a hozzáférési kulcsok egyikét. A hozzáférési kulcs biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. A hozzáférési kulcs rendszeres elforgatása, amelyet az Azure Event Grid új kulcsának lekérésével és a stream szerkesztésével végezhet el.

    Adja meg a munkaterület azonosítóját és az elsődleges kulcsot a létrehozáshoz

Miután konfigurálta az Event Grid-streamet, beállíthatja az előfizetéseket az Event Griden, hogy szinte bárhol elküldhesse az adatokat az Azure-ban.

Azure Monitor-naplóstream beállítása

  1. Hozzon létre egy Log Analytics-munkaterületet.

  2. Nyissa meg a munkaterületet, és válassza az Ügynökök lehetőséget.

  3. Válassza a Log Analytics-ügynök utasításait a munkaterület azonosítójának és elsődleges kulcsának megtekintéséhez.

  4. Jegyezze fel a munkaterület azonosítóját és az elsődleges kulcsot.

    Jegyezze fel a munkaterület azonosítóját és az elsődleges kulcsot

  5. Állítsa be az Azure Monitor-naplóstreamet a stream létrehozásához szükséges kezdeti lépések végrehajtásával.

  6. A célbeállításokhoz válassza az Azure Monitor-naplók lehetőséget.

  7. Adja meg a munkaterület azonosítóját és elsődleges kulcsát, majd válassza a Beállítás lehetőséget. Az elsődleges kulcs biztonságosan van tárolva az Azure DevOpsban, és soha többé nem jelenik meg a felhasználói felületen. Rendszeresen forgassa el a kulcsot, amit az Azure Monitor Naplóból származó új kulcs lekérésével és a stream szerkesztésével végezhet el.

    Adja meg a munkaterület azonosítóját és az elsődleges kulcsot, majd válassza a Beállítás lehetőséget.

A stream engedélyezve van, és az új események fél órán belül elkezdenek áramlani. Hivatkozhat az AzureDevOpsAuditing táblára.

Feljegyzés

Az Azure Monitor-naplók alapértelmezett megőrzési ideje csak 30 nap. A hosszabb megőrzés konfigurálásához és kiválasztásához válassza az Adatmegőrzés lehetőséget a Használat és a becsült költségek lehetőség kiválasztásával a munkaterület beállításai között. Ez további díjakat von maga után. További részletekért tekintse meg a dokumentációt a használat és a költségek kezeléséhez az Azure Monitor-naplókkal.

Stream szerkesztése

A streamcél részletei idővel változhatnak. Ha tükrözni szeretné ezeket a módosításokat a streamekben, szerkesztheti őket. Stream szerkesztéséhez győződjön meg arról, hogy rendelkezik a Naplózási adatfolyamok kezelése engedéllyel.

  1. A szerkeszteni kívánt stream mellett jelölje ki a jobb szélen lévő függőleges három pontot, majd válassza a Stream szerkesztése lehetőséget.

    Válassza a Stream szerkesztése lehetőséget

  2. Válassza a Mentés lehetőséget.

A szerkesztéshez elérhető paraméterek streamtípusonként eltérőek.

Stream letiltása

  1. A letiltani kívánt stream mellett helyezze át az Engedélyezett váltógombot Beről Ki állásba.
    Ha a streamek hibába ütköznek, előfordulhat, hogy le lesznek tiltva. A hiba részleteit a stream mellett látható állapotból vagy a Stream szerkesztése lehetőség kiválasztásával kaphatja meg. A streameket manuálisan is letilthatja, majd később újra engedélyezheti.

    Váltás kikapcsolva a stream letiltásához

  2. Válassza a Mentés lehetőséget.

A letiltott streameket újra engedélyezheti. Minden olyan auditeseményt, amely az előző hét napban kimaradt. Így nem hagyhatja ki a stream letiltásának időtartamából származó eseményeket.

Feljegyzés

A 7 napnál régebbi események nem szerepelnek a felzárkózásban, ha egy stream 7 napnál hosszabb ideig le van tiltva.

Stream törlése

Stream törléséhez győződjön meg arról, hogy rendelkezik a Naplóstreamek törlése engedéllyel.

Fontos

Miután törölt egy streamet, nem kaphatja vissza.

  1. Mutasson a törölni kívánt streamre, és válassza ki a függőleges három pontot a jobb szélen.

  2. Válassza a Stream törlése lehetőséget.

    Válassza a Stream törlése lehetőséget, és az el lett távolítva

  3. Válassza a Megerősítés elemet.

A rendszer eltávolítja a streamet. A törlés előtti nem küldött események nem lesznek elküldve.