Denetim akışı oluşturma
Azure DevOps Services
Dekont
Denetim hala genel önizleme aşamasındadır.
Daha fazla işlem için verileri diğer konumlara gönderen bir denetim akışı oluşturmayı öğrenin. Denetim verilerini diğer Güvenlik Olayı ve Olay Yönetimi (SIEM) araçlarına gönderin ve belirli olaylar için uyarıları tetikleme, denetim verileri üzerinde görünüm oluşturma ve anomali algılama gerçekleştirme gibi yeni olasılıklar açın. Akış ayarlamak, Azure DevOps'un kuruluşunuz için sakladığı maksimum veri miktarı olan 90 günden fazla denetim verilerini depolamanıza da olanak tanır.
Önemli
Denetim yalnızca Microsoft Entra Id tarafından yedeklenen kuruluşlarda kullanılabilir. Daha fazla bilgi için bkz. Kuruluşunuzu Microsoft Entra Id'ye Bağlan.
Denetim akışları, denetim olaylarını Azure DevOps kuruluşunuzdan bir akış hedefine aktaran bir işlem hattını temsil eder. Yarım saatte bir veya daha kısa bir sürede yeni denetim olayları paketlenir ve hedeflerinize akışla aktarılır. Yapılandırma için aşağıdaki akış hedefleri kullanılabilir.
- Splunk : Şirket içi veya bulut tabanlı Splunk'a Bağlan.
- Azure İzleyici Günlükleri - Denetim günlüklerini Azure İzleyici Günlüklerine gönderin. Azure İzleyici Günlüklerinde depolanan günlükler sorgulanabilir ve uyarıların yapılandırılması gerekir. AzureDevOpsAuditing adlı tabloyu arayın. Microsoft Sentinel'i çalışma alanınıza da bağlayabilirsiniz.
- Azure Event Grid – Denetim günlüklerinizin Azure'ın içinde veya dışında başka bir yere gönderilmesini istediğiniz senaryolar için bir Azure Event Grid bağlantısı ayarlayabilirsiniz.
Özel bağlantılı çalışma alanları bugün desteklenmemektedir.
Dekont
Azure DevOps Server'ın şirket içi dağıtımlarında denetim kullanılamaz. Bir denetim akışını şirket içi veya bulut tabanlı splunk örneğine bağlamak mümkündür, ancak gelen bağlantılar için IP aralıklarına izin verdiğinizden emin olun. Ayrıntılar için bkz . İzin verilen adres listeleri ve ağ bağlantıları, IP adresleri ve aralık kısıtlamaları.
Ön koşullar
Varsayılan olarak, denetim özelliğine erişimi olan tek grup Project Collection Yönetici istrators (PCAs). Aşağıdaki izinlere sahip olmanız gerekir:
Denetim akışlarını yönetme
Denetim günlüğünü görüntüleme
Bu izinler, kuruluşunuzun akışlarını yönetmek istediğiniz tüm kullanıcılara veya gruplara verilebilir. Ayrıca, kullanıcılar veya gruplar için ekleyebileceğiniz denetim akışlarını silme izni de vardır.
Akış oluşturma
Kuruluşunuzda (
https://dev.azure.com/{yourorganization}
) oturum açın.Kuruluş ayarları'nı seçin.
Denetim'i seçin.
Dekont
Kuruluş Ayarlar'nde Denetim seçeneğini görmüyorsanız, kuruluşunuz için denetim şu anda etkin değildir. Kuruluş sahibi veya Proje Koleksiyonu Yönetici istrators (PCA) grubundaki birinin Kuruluş İlkelerinde Denetimi etkinleştirmesi gerekir. Daha sonra uygun izinlere sahipseniz Denetim sayfasında olayları görebilirsiniz.
Akışlar sekmesine gidip Yeni akış'ı seçin.
Yapılandırmak istediğiniz akış hedefini seçin ve ardından akış hedef türünüzü ayarlamak için aşağıdaki yönergelerden birini seçin.
Dekont
Şu anda her hedef türü için yalnızca 2 akışınız olabilir.
Splunk akışı ayarlama
Akışlar HTTP Olay Toplayıcısı uç noktası aracılığıyla Splunk'a veri gönderin.
Splunk'ta bu özelliği etkinleştirin. Daha fazla bilgi için bu Splunk belgelerine bakın.
Etkinleştirildikten sonra bir HTTP Olay Toplayıcı belirtecine ve Splunk örneğinizin URL'sine sahip olmanız gerekir. Splunk akışı oluşturmak için hem belirteç hem de URL gerekir.
Dekont
Splunk'ta yeni bir Olay Toplayıcı belirteci oluştururken "Dizin oluşturucu onaylarını etkinleştir" seçeneğini işaretlemeyin. İşaretlenirse Splunk'a hiçbir olay akışı yapılmaz. Splunk'ta belirteci düzenleyerek bu ayarı kaldırabilirsiniz.
Splunk örneğinizin işaretçisi olan Splunk URL'nizi girin. URL'nin sonunda bir bağlantı noktası belirttiğinizden emin olun. Varsayılan bağlantı noktası şeklindedir,
8088
dolayısıyla URL'niz veyahttps://prd-p-2k3mp2xhznbs.splunkcloud.com
ilehttps://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088
benzer olur.Oluşturduğunuz olay toplayıcı belirtecini belirteç alanına girin. Belirteç Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Splunk'tan yeni bir belirteç alıp akışı düzenleyerek yapabileceğiniz belirteci düzenli olarak döndürmenizi öneririz.
Ayarla'yı seçin ve akışınız yapılandırıldı.
Olaylar yarım saat veya daha kısa bir sürede Splunk'a gelmeye başlar.
Event Grid akışı ayarlama
Azure'da bir Event Grid konusu oluşturun.
"Konu Uç Noktası"nı ve iki "Erişim Anahtarı"nın birini not edin. Event Grid bağlantısını oluşturmak için bu bilgileri kullanın.
Konu uç noktasını ve erişim anahtarlarından birini girin. Erişim anahtarı Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Azure Event Grid'den yeni bir anahtar alıp akışı düzenleyerek yapabileceğiniz erişim anahtarını düzenli olarak döndürün
Event Grid akışınızı yapılandırdıktan sonra Event Grid'de abonelikleri ayarlayarak verileri Azure'ın hemen her yerinde gönderebilirsiniz.
Azure İzleyici Günlük akışı ayarlama
Log Analytics çalışma alanı oluşturun.
Çalışma alanını açın ve Aracılar'ı seçin.
Çalışma alanı kimliğini ve birincil anahtarı görüntülemek için Log Analytics aracısı yönergeleri'ni seçin.
Çalışma alanı kimliğini ve birincil anahtarı not edin.
Akış oluşturmak için aynı başlangıç adımlarını izleyerek Azure İzleyici günlük akışınızı ayarlayın.
Hedef seçenekler için Azure İzleyici Günlükleri'ni seçin.
Çalışma alanı kimliğini ve birincil anahtarı girip Ayarla'yı seçin. Birincil anahtar Azure DevOps içinde güvenli bir şekilde depolanır ve kullanıcı arabiriminde bir daha görüntülenmez. Anahtarı düzenli olarak döndürün; bunu Azure İzleyici Günlüğü'nden yeni bir anahtar alıp akışı düzenleyerek yapabilirsiniz.
Akış etkinleştirilir ve yeni olaylar yarım saat veya daha kısa bir sürede akmaya başlar. AzureDevOpsAuditing tablosuna başvurabilirsiniz.
Dekont
Azure İzleyici Günlükleri için varsayılan saklama süresi yalnızca 30 gündür. Çalışma alanı ayarlarınızda Kullanım ve tahmini maliyetler'in altında Veri Saklama'yı seçerek daha uzun saklamayı yapılandırabilir ve seçebilirsiniz. Bu ek ücrete neden olabilir. Daha fazla ayrıntı için Azure İzleyici Günlükleri ile kullanımı ve maliyetleri yönetmek için belgelere bakın.
Akışı düzenleme
Akış hedefinizle ilgili ayrıntılar zaman içinde değişebilir. Bu değişiklikleri akışlarınızda yansıtmak için bunları düzenleyebilirsiniz. Bir akışı düzenlemek için Denetim akışlarını yönetme iznine sahip olduğunuzdan emin olun.
Düzenlemek istediğiniz akışın yanında en sağdaki dikey üç noktayı seçin ve ardından Akışı düzenle'yi seçin.
Kaydet'i seçin.
Düzenleme için kullanılabilen parametreler akış türüne göre farklılık gösterir.
Akışı devre dışı bırakma
Devre dışı bırakmak istediğiniz akışın yanında Etkin iki durumlu düğmesini Açık'tan Kapalı'ya taşıyın.
Akışlar bir hatayla karşılaştığında devre dışı bırakılabilir. Hatanın ayrıntılarını akışın yanında gösterilen durumdan veya Akışı düzenle'yi seçerek alabilirsiniz. Ayrıca bir akışı el ile devre dışı bırakabilir ve daha sonra yeniden etkinleştirebilirsiniz.Kaydet'i seçin.
Devre dışı bırakılmış bir akışı yeniden etkinleştirebilirsiniz. Son yedi güne kadar kaçırılan tüm denetim olaylarını yakalar. Böylece akışın devre dışı bırakıldığı süre boyunca hiçbir olayı kaçırmazsınız.
Dekont
Bir akış 7 günden uzun süre devre dışı bırakılırsa, 7 günden eski olaylar yakalamaya dahil değildir.
Akışı silme
Bir akışı silmek için Denetim akışlarını sil iznine sahip olduğunuzdan emin olun.
Önemli
Bir akışı sildiğinizde akışı geri alamazsınız.
Silmek istediğiniz akışın üzerine gelin ve en sağdaki dikey üç noktayı seçin.
Akışı sil'i seçin.
Onayla'yı seçin.
Akışınız kaldırılır. Silme işleminden önce gönderilmemiş olan olaylar gönderilmez.
İlgili makaleler
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin