Skapa granskningsströmning
Azure DevOps Services
Kommentar
Granskning är fortfarande i offentlig förhandsversion.
Lär dig hur du skapar en granskningsström som skickar data till andra platser för vidare bearbetning. Skicka granskningsdata till andra SIEM-verktyg (Security Incident and Event Management) och öppna nya möjligheter, till exempel möjligheten att utlösa aviseringar för specifika händelser, skapa vyer för granskningsdata och utföra avvikelseidentifiering. När du konfigurerar en dataström kan du också lagra granskningsdata för mer än 90 dagar, vilket är den maximala mängden data som Azure DevOps behåller för dina organisationer.
Viktigt!
Granskning är endast tillgängligt för organisationer som backas upp av Microsoft Entra-ID. Mer information finns i Ansluta din organisation till Microsoft Entra-ID.
Granskningsströmmar representerar en pipeline som flödar granskningshändelser från din Azure DevOps-organisation till ett strömmål. Varje halvtimme eller mindre paketeras nya granskningshändelser och strömmas till dina mål. Följande strömmål är tillgängliga för konfiguration.
- Splunk – Anslut till lokal eller molnbaserad Splunk.
- Azure Monitor-loggar – Skicka granskningsloggar till Azure Monitor-loggar. Loggar som lagras i Azure Monitor-loggar kan efterfrågas och få aviseringar konfigurerade. Leta efter tabellen med namnet AzureDevOpsAuditing. Du kan också ansluta Microsoft Sentinel till din arbetsyta.
- Azure Event Grid – För scenarier där du vill att dina granskningsloggar ska skickas någon annanstans, oavsett om du befinner dig i eller utanför Azure, kan du konfigurera en Azure Event Grid-anslutning .
Privata länkade arbetsytor stöds inte i dag.
Kommentar
Granskning är inte tillgängligt för lokala distributioner av Azure DevOps Server. Det går att ansluta en granskningsström till en lokal eller molnbaserad instans av Splunk, men se till att du tillåter IP-intervall för inkommande anslutningar. Mer information finns i Tillåtna adresslistor och nätverksanslutningar, IP-adresser och intervallbegränsningar.
Förutsättningar
Som standard är projektsamlingsadministratörer (PCA) den enda grupp som har åtkomst till granskningsfunktionen. Du måste ha följande behörigheter:
Hantera granskningsströmmar
Visa granskningslogg
Dessa behörigheter kan ges till alla användare eller grupper som du vill ha för att hantera organisationens strömmar. Dessutom finns det även behörigheten Ta bort granskningsströmmar som du kan lägga till för användare eller grupper.
Skapa en ström
Logga in på din organisation (
https://dev.azure.com/{yourorganization}
).Välj Organisationsinställningar.
Välj Granskning.
Kommentar
Om du inte ser granskning i organisationsinställningar är granskning för närvarande inte aktiverat för din organisation. Någon i gruppen organisationsägare eller projektsamlingsadministratörer måste aktivera granskning i organisationsprinciper. Sedan kan du se händelser på sidan Granskning om du har rätt behörigheter.
Gå till fliken Strömmar och välj sedan Ny ström.
Välj det strömmål som du vill konfigurera och välj sedan följande instruktioner för att konfigurera din dataströmmåltyp.
Kommentar
För närvarande kan du bara ha 2 strömmar för varje måltyp.
Konfigurera en Splunk-ström
Strömmar skickar data till Splunk via HTTP-händelseinsamlarens slutpunkt.
Aktivera den här funktionen i Splunk. Mer information finns i den här Splunk-dokumentationen.
När den är aktiverad bör du ha en HTTP-händelseinsamlaretoken och URL:en till din Splunk-instans. Du behöver både token och URL för att skapa en Splunk-ström.
Kommentar
När du skapar en ny händelseinsamlaretoken i Splunk kontrollerar du inte "Aktivera indexerarens bekräftelse". Om den är markerad flödar inga händelser till Splunk. Du kan redigera token i Splunk för att ta bort den inställningen.
Ange din Splunk-URL, som är pekaren till din Splunk-instans. Se till att du anger en port i slutet av URL:en. Standardporten är
8088
, så din URL skulle liknahttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
ellerhttps://prd-p-2k3mp2xhznbs.splunkcloud.com
.Ange den händelseinsamlaretoken som du skapade i tokenfältet. Token lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Vi rekommenderar att du roterar token regelbundet, vilket du kan göra genom att hämta en ny token från Splunk och redigera strömmen.
Välj Konfigurera och din dataström är konfigurerad.
Händelser börjar anlända på Splunk inom en halvtimme eller mindre.
Konfigurera en Event Grid-ström
- Skapa ett Event Grid-ämne i Azure.
Kommentar
När du skapar Event Grid-ämnet går du till fliken Avancerat och ser till att händelseschemat är inställt på Event Grid-schema. Andra scheman stöds inte av Azure DevOps. 2. Anteckna "Ämnesslutpunkt" och en av de två "åtkomstnycklarna". Använd den här informationen för att skapa Event Grid-anslutningen.
Ange ämnesslutpunkten och en av åtkomstnycklarna. Åtkomstnyckeln lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Rotera åtkomstnyckeln regelbundet, vilket du kan göra genom att hämta en ny nyckel från Azure Event Grid och redigera dataströmmen
När du har konfigurerat Event Grid-strömmen kan du konfigurera prenumerationer på Event Grid för att skicka data nästan var som helst i Azure.
Konfigurera en Azure Monitor-loggström
Skapa en Log Analytics-arbetsyta.
Öppna arbetsytan och välj Agenter.
Välj Log Analytics-agentinstruktioner för att visa arbetsytans ID och primärnyckel.
Anteckna arbetsytans ID och primärnyckel.
Konfigurera azure monitor-loggströmmen genom att fortsätta med samma inledande steg för att skapa en dataström.
För målalternativ väljer du Azure Monitor-loggar.
Ange arbetsytans ID och primärnyckel och välj sedan Konfigurera. Den primära nyckeln lagras säkert i Azure DevOps och visas aldrig igen i användargränssnittet. Rotera nyckeln regelbundet, vilket du kan göra genom att hämta en ny nyckel från Azure Monitor-loggen och redigera dataströmmen.
Strömmen är aktiverad och nya händelser börjar flöda inom en halvtimme eller mindre. Du kan referera till tabellen AzureDevOpsAuditing.
Kommentar
Standardtiden för kvarhållning för Azure Monitor-loggar är endast 30 dagar. Du kan konfigurera och välja längre kvarhållning genom att välja Datakvarhållning under Användning och uppskattade kostnader i dina arbetsyteinställningar. Detta medför ytterligare avgifter. Mer information finns i dokumentationen för att hantera användning och kostnader med Azure Monitor-loggar.
Redigera en dataström
Information om ditt stream-mål kan ändras med tiden. Om du vill återspegla dessa ändringar i dina strömmar kan du redigera dem. Om du vill redigera en dataström kontrollerar du att du har behörigheten Hantera granskningsströmmar .
Bredvid den ström som du vill redigera väljer du de tre lodräta punkterna längst till höger och väljer sedan Redigera ström.
Välj Spara.
De parametrar som är tillgängliga för redigering skiljer sig åt per strömtyp.
Inaktivera en ström
Bredvid den ström som du vill inaktivera flyttar du växlingsknappen Aktiverad från På till Av.
När strömmar påträffar ett fel kan de inaktiveras. Du kan få information om felet från statusen som visas bredvid strömmen eller genom att välja Redigera ström. Du kan också inaktivera en ström manuellt och sedan återaktivera den senare.Välj Spara.
Du kan återaktivera en inaktiverad ström. Den kommer ikapp alla granskningshändelser som missats i upp till de föregående sju dagarna. På så sätt missar du inte några händelser från den tid som strömmen inaktiverades.
Kommentar
Om en ström är inaktiverad i mer än 7 dagar ingår inte händelser som är äldre än 7 dagar i komma ikapp.
Ta bort en dataström
Om du vill ta bort en dataström kontrollerar du att du har behörigheten Ta bort granskningsströmmar .
Viktigt!
När du har tagit bort en ström kan du inte få tillbaka den.
Hovra över strömmen som du vill ta bort och välj de tre lodräta punkterna längst till höger.
Välj Ta bort ström.
Välj Bekräfta.
Strömmen tas bort. Händelser som inte har skickats innan borttagningen skickas inte.