建立稽核串流

  • 發行項

Azure DevOps Services

注意

稽核仍處於公開預覽狀態。

瞭解如何建立 稽核 資料流程,以將資料傳送至其他位置以進行進一步處理。 將稽核資料傳送至其他安全性事件和事件管理 (SIEM) 工具,並開啟新的可能性,例如能夠觸發特定事件的警示、建立稽核資料的檢視,以及執行異常偵測。 設定資料流程也可讓您儲存超過 90 天的稽核資料,這是 Azure DevOps 為組織保留的最大資料量。

重要

稽核僅適用於受 Microsoft Entra ID 支援的組織。 如需詳細資訊,請參閱 將組織連線到 Microsoft Entra ID.

稽核資料流程代表將稽核事件從 Azure DevOps 組織流至串流目標的管線。 每半小時或更少一次,新的稽核事件會組合並串流至您的目標。 下列資料流程目標可用於設定。

目前不支援私人連結工作區。

注意

稽核不適用於 Azure DevOps Server 的內部部署。 您可以將稽核串流連線到內部部署或雲端式 Splunk 實例,但請確定您允許輸入連線的 IP 範圍。 如需詳細資訊,請參閱 允許的地址清單和網路連線、IP 位址和範圍限制

必要條件

根據預設,Project Collection 管理員istrators (PCA) 是唯一可存取稽核功能的群組。 您必須具有下列許可權:

  • 管理稽核串流

  • 檢視稽核記錄

    Set audit permissions to Allow

您可以將這些許可權授與您想要管理組織資料流程的任何使用者或群組。 此外,還有 您可以為使用者或群組新增的刪除稽核串流 許可權。

建立資料流程

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取gear icon組織設定

    Screenshot showing highlighted Organization settings button.

  3. 選取 [ 稽核 ]。

    Select Auditing in Organization settings

注意

如果您在組織設定中 看不到稽核 ,則目前尚未為您的組織啟用稽核。 組織擁有者或 Project Collection 管理員istrators (PCA) 群組中的某人必須在 組織原則中啟用稽核 。 然後,如果您有適當的許可權,您將能夠在 [稽核] 頁面上看到事件。

  1. 移至 [ 串流] 索引 標籤,然後選取 [ 新增資料流程 ]。

    Select New stream to create your new auditing stream.

  2. 選取您想要設定的資料流程目標,然後從下列指示中選取以設定資料流程目標型別。

注意

此時,每個目標型別只能有 2 個數據流。

Create your stream dialog pop out

設定 Splunk 資料流程

資料流程會透過 HTTP 事件收集器端點將資料傳送至 Splunk。

  1. 在 Splunk 中啟用此功能。 如需詳細資訊,請參閱此 Splunk 檔

    啟用之後,您應該會有 HTTP 事件收集器權杖和 Splunk 實例的 URL。 您需要權杖和 URL 才能建立 Splunk 資料流程。

    注意

    當您在 Splunk 中建立新的事件收集器權杖時,請勿檢查 [啟用索引子通知]。 如果已核取,則不會有任何事件流入 Splunk。 您可以在 Splunk 中編輯權杖,以移除該設定。

  2. 輸入您的 Splunk URL,這是 Splunk 實例的指標。 請確定您在 URL 結尾指定埠。 預設埠為 8088 ,因此您的 URL 會類似于 https://prd-p-2k3mp2xhznbs.cloud.splunk.com:8088https://prd-p-2k3mp2xhznbs.splunkcloud.com

  3. 輸入您在權杖欄位中建立的事件收集器權杖。 權杖會安全地儲存在 Azure DevOps 中,且永遠不會在 UI 中再次顯示。 建議您定期輪替權杖,方法是從 Splunk 取得新的權杖並編輯資料流程。

    Enter topic endpoint and access key that you noted earlier

  4. 選取 [設定 ] 並設定您的資料流程。

事件會在半小時內開始抵達 Splunk。

設定事件方格資料流程

  1. 在 Azure 上建立事件方格主題。

  2. 記下「主題端點」和兩個「存取金鑰」的其中一個。 使用這項資訊來建立事件方格連線。

    Azure Event Grid information

  3. 輸入主題端點和其中一個存取金鑰。 存取金鑰會安全地儲存在 Azure DevOps 中,且永遠不會再次顯示在 UI 中。 定期輪替存取金鑰,您可以從Azure 事件方格取得新的金鑰並編輯資料流程,以執行此動作

    Enter workspace ID and primary key to create

設定事件方格資料流程之後,您可以在事件方格上設定訂用帳戶,以在 Azure 中幾乎任何地方傳送資料。

設定 Azure 監視器記錄資料流程

  1. 建立 Log Analytics 工作區

  2. 開啟工作區,然後選取 [代理程式 ]。

  3. 選取 Log Analytics 代理程式指示 ,以檢視工作區識別碼和主鍵。

  4. 記下工作區識別碼和主鍵。

    Make note of workspace ID and primary key

  5. 請繼續執行相同的初始步驟來建立資料流程,以設定您的 Azure 監視器記錄資料流程。

  6. 針對目標選項,選取 [Azure 監視器記錄 ]。

  7. 輸入工作區識別碼和主鍵,然後選取 [ 設定 ]。 主鍵會安全地儲存在 Azure DevOps 中,且永遠不會再次顯示在 UI 中。 定期輪替金鑰,您可以從 Azure 監視器記錄取得新的金鑰並編輯串流來執行此動作。

    Enter workspace ID and primary key and then select Set up.

資料流程已啟用,新的事件會在半小時內開始流動。 您可以參考 AzureDevOpsAuditing 資料表。

注意

Azure 監視器記錄的預設保留時間為 30 天。 您可以在工作區設定中選取 [使用量] 底下的 [資料保留] 和 [預估成本 ],來設定並選擇較長的保留 期。 這會產生額外費用。 如需詳細資訊,請參閱檔 以使用 Azure 監視器記錄來管理使用量和成本。

編輯資料流程

串流目標的詳細資料可能會隨著時間而變更。 若要在資料流程中反映這些變更,您可以編輯這些變更。 若要編輯資料流程,請確定您具有 管理稽核 資料流程許可權。

  1. 在您想要編輯的資料流程旁邊,選取最右邊的垂直三個點,然後選取 [ 編輯資料流程 ]。

    Select Edit stream

  2. 選取 [儲存]。

可用於編輯的參數會因數據流類型而異。

停用資料流程

  1. 在您要停用的資料流程旁邊,將 [ 已啟用] 切換開關從 [開啟 ] 移至 [關閉 ]。
    當資料流程發生失敗時,它們可能會停用。 您可以從資料流程旁顯示的狀態,或選取 [編輯資料流程 ] 來取得失敗的詳細資料。 您也可以手動停用資料流程,然後稍後重新啟用。

    Move toggle to Off to disable stream

  2. 選取 [儲存]。

您可以重新啟用已停用的資料流程。 它會趕上過去七天錯過的任何稽核事件。 如此一來,您就不會錯過資料流程停用期間的任何事件。

注意

如果串流停用超過 7 天,則追趕中不會包含超過 7 天的事件。

刪除資料流程

若要刪除資料流程,請確定您具有 [刪除稽核 資料流程] 許可權。

重要

刪除資料流程之後,就無法將其取回。

  1. 將滑鼠停留在您想要刪除的資料流程上,然後選取最右邊的垂直三個點。

  2. 選取 [ 刪除資料流程 ]。

    Select Delete stream and it's removed

  3. 選取確認

您的資料流程會移除。 刪除之前尚未傳送的任何事件都不會傳送。