创建审核流

Azure DevOps Services

注意

审核仍处于公共预览状态。

了解如何创建审核流,该流将数据发送到其他位置以供进一步处理。 将审核数据发送到其他安全事件和事件管理(SIEM)工具,并打开新的可能性,例如触发特定事件的警报、创建审核数据的视图和执行异常情况检测。 设置流还允许存储超过 90 天的审核数据,这是 Azure DevOps 为组织保留的最大数据量。

重要

审核仅适用于 Microsoft Entra ID 支持的组织。 有关详细信息,请参阅将组织连接到 Microsoft Entra ID

审核流表示将审核事件从 Azure DevOps 组织流式传输到流目标的管道。 每半小时或更短一次,新的审核事件将捆绑并流式传输到目标。 以目标可用于配置。

  • Splunk – 连接到本地或基于云的 Splunk。
  • Azure Monitor 日志 - 将审核日志发送到 Azure Monitor 日志。 可以查询 Azure Monitor 日志中存储的日志并配置警报。 查找名为 AzureDevOpsAuditing 的表。 还可以将Microsoft Sentinel 连接到工作区。
  • Azure 事件网格 – 对于希望将审核日志发送到其他位置(无论是在 Azure 内部还是外部)的方案,可以设置Azure 事件网格连接。

目前不支持专用链接工作区。

注意

审核不适用于Azure DevOps Server的本地部署。 可以将审核流连接到本地或基于云的 Splunk 实例,但请确保允许入站连接的 IP 范围。 有关详细信息,请参阅 允许的地址列表和网络连接、IP 地址和范围限制

先决条件

默认情况下,项目集合管理员(PCA)是唯一有权访问审核功能的组。 你必须具有以下权限:

  • 管理审核流

  • 查看审核日志

    将审核权限设置为“允许”

这些权限可以提供给想要管理组织流的任何用户或组。 此外,还可以 为用户或组添加“删除审核流 ”权限。

创建流

  1. (https://dev.azure.com/{yourorganization}) 登录到组织。

  2. 选择 齿轮图标 组织设置

    显示突出显示的“组织设置”按钮的屏幕截图。

  3. 选择“ 审核”。

    在组织设置中选择“审核”

注意

如果在“组织设置”中看不到 “审核 ”,则当前未为组织启用审核。 组织所有者或项目集合管理员(PCA)组中的人员必须在组织策略中启用审核。 然后,如果具有适当的权限,你将能够在“审核”页上看到事件。

  1. 转到 “流 ”选项卡,然后选择“ 新建流”。

    选择“新建流”以创建新的审核流。

  2. 选择要配置的流目标,然后从以下说明中选择设置流目标类型。

注意

目前,每个目标类型只能有 2 个流。

“创建流”对话框弹出

设置 Splunk 流

流通过 HTTP 事件收集器终结点将数据发送到 Splunk。

  1. 在 Splunk 中启用此功能。 有关详细信息,请参阅此 Splunk 文档

    启用后,应具有 HTTP 事件收集器令牌和 Splunk 实例的 URL。 需要令牌和 URL 才能创建 Splunk 流。

    注意

    在 Splunk 中创建新的事件收集器令牌时,请不要检查“启用索引器确认”。 如果已选中,则不会将事件流向 Splunk。 可以在 Splunk 中编辑令牌以删除该设置。

  2. 输入 Splunk URL,即指向 Splunk 实例的指针。 确保指定 URL 末尾的端口。 默认端口为 8088,因此 URL 类似于 https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088https://prd-p-2k3mp2xhznbs.splunkcloud.com

  3. 在令牌字段中输入创建的事件收集器令牌。 令牌安全地存储在 Azure DevOps 中,永远不会在 UI 中再次显示。 建议定期轮换令牌,方法是从 Splunk 获取新令牌并编辑流。

    输入前面提到的主题终结点和访问密钥

  4. 选择“设置并配置了流。

事件开始在半小时内到达 Splunk 或更少。

设置事件网格流

  1. 在 Azure 上创建事件网格主题。

注意

创建事件网格主题时,导航到“高级”选项卡,并确保事件架构设置为 事件网格架构。 Azure DevOps 不支持其他架构。 2. 记下“主题终结点”和两个“访问密钥”之一。 使用此信息创建事件网格连接。

Azure 事件网格信息

  1. 输入主题终结点和其中一个访问密钥。 访问密钥安全地存储在 Azure DevOps 中,永远不会在 UI 中再次显示。 定期轮换访问密钥,可以通过从Azure 事件网格获取新密钥并编辑流来执行此操作

    输入要创建的工作区 ID 和主键

配置事件网格流后,可以在事件网格上设置订阅,以几乎在 Azure 中的任何位置发送数据。

设置 Azure Monitor 日志流

  1. 创建 Log Analytics 工作区

  2. 打开工作区并选择 “代理”。

  3. 选择 Log Analytics 代理说明 以查看工作区 ID 和主密钥。

  4. 记下工作区 ID 和主键。

    记下工作区 ID 和主键

  5. 通过执行相同的初始步骤创建流来设置 Azure Monitor 日志流。

  6. 对于目标选项,请选择 “Azure Monitor 日志”。

  7. 输入工作区 ID 和主键,然后选择“ 设置”。 主密钥安全地存储在 Azure DevOps 中,永远不会在 UI 中再次显示。 定期轮换密钥,可以通过从 Azure Monitor 日志获取新密钥并编辑流来执行此操作。

    输入工作区 ID 和主键,然后选择“设置”。

启用流,新事件将在半小时内或更短时间内开始流动。 可以引用 AzureDevOpsAuditing 表。

注意

Azure Monitor 日志的默认保留时间为 30 天。 可以通过在工作区设置中选择“使用情况”和估计成本下的“数据保留期”来配置和选择更长的保留期。 这会产生额外的费用。 有关 更多详细信息,请查看文档 以使用 Azure Monitor 日志管理使用情况和成本。

编辑流

有关流目标的详细信息可能会随时间而变化。 若要在流中反映这些更改,可以编辑这些更改。 若要编辑流,请确保你具有 “管理审核流 ”权限。

  1. 在要编辑的流旁边,选择最右侧的垂直三点,然后选择“ 编辑流”。

    选择“编辑流”

  2. 选择“保存”。

可用于编辑的参数因流类型而异。

禁用流

  1. 在要禁用的流旁边,将 “已启用” 开关从 “打开 ”移动到 “关闭”。
    当流遇到故障时,它们可能会被禁用。 可以从流旁显示的状态或选择“编辑流获取有关失败的详细信息。 还可以手动禁用流,然后稍后重新启用该流。

    将切换开关移动到“关闭”以禁用流

  2. 选择“保存”。

可以重新启用禁用的流。 它赶上了前七天错过的任何审核事件。 这样就不会错过流禁用持续时间中的任何事件。

注意

如果流被禁用超过 7 天,则超过 7 天的事件不包括在追赶中。

删除流

若要删除流,请确保具有 “删除审核流 ”权限。

重要

删除流后,便无法将其恢复。

  1. 将鼠标悬停在要删除的流上,然后选择最右侧的垂直三点。

  2. 选择“ 删除流”。

    选择“删除流”并将其删除

  3. 选择“确认”。

将删除流。 不会发送删除之前尚未发送的任何事件。