Atlassian Jira
Данное руководство описывает процесс настройки сбора и отправки событий Atlassian Jira в R-Vision SIEM.
Настройка Atlassian Jira
В инструкции рассматривается сбор событий из следующих журналов:
-
atlassian-jira-http-access.log — журнал access web службы.
-
atlassian-jira.log — общий лог, в который пишут логи отдельные службы.
-
audit/YYYYmmdd.00000.audit.log — audit-журнал, доступный так же из сети по адресу
/plugins/servlet/audit.
Настройка журналирования Atlassian Jira
Чтобы настроить журналирование Jira:
-
Включите логирование журнала access в настройках Jira:
-
Убедитесь, что формат сообщения в журнале atlassian-jira.log стандартный, для этого:
-
Откройте файл
/opt/atlassian/jira/atlassian-jira/WEB-INF/classes/log4j2.xml. -
Убедитесь, что в нем присутствует параметр:
log4j.appender.confluencelog.layout.ConversionPattern=%d %p [%t] [%c{4}] %M %enc{%m}{JSON}%n
-
-
Настройте передачу событий из файла. Для этого создайте файл /etc/rsyslog.d/02-jira.conf со следующим содержимым:
module(load="imfile" mode="inotify") input( type="imfile" File="/var/lib/docker/volumes/docker_jiraVar/_data/log/atlassian-jira.log" Tag="Jira_Log" Severity="info" Facility="local4" ) input( type="imfile" File="/var/lib/docker/volumes/docker_jiraVar/_data/log/atlassian-jira-http-access.log" Tag="Jira_Apache_Access" Severity="info" Facility="local4" ) input( type="imfile" File="/var/lib/docker/volumes/docker_jiraVar/_data/log/audit/*.audit.log" Tag="Jira_Audit" Severity="info" Facility="local4" ) if $syslogtag == 'Jira_Log' or $syslogtag == 'Jira_Apache_Access' or $syslogtag == 'Jira_Audit' then { action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>") stop }Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog в конвейере SIEM. -
<protocol>— сетевой протокол:tcpилиudp.
-
-
Перезапустите службу rsyslog.service с помощью команды:
systemctl restart rsyslog.service -
Настройте нормализацию события журнала Apache Access, для этого:
-
Откройте файл
/opt/atlassian/jira/conf/server.xml. -
В файле server.xml найдите параметр className и измените его pattern на следующий:
%a %{jira.request.id}r %{jira.request.username}r %t "%m %U%q %H" %s %b "%{Referer}i" "%{User-Agent}i"
-
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
Перейдите в раздел Ресурсы → Коллекторы и создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Syslog.
-
Порт точки входа и протокол: в соответствии с настройками на стороне Atlassian Jira.
-
-
Создайте VRL-трансформацию:
.dvendor = "Atlassian" .dproduct = "Jira"
-
Соедините добавленную точку входа и VRL-трансформацию.
-
Добавьте на конвейер элемент Нормализатор с правилами Atlassian Jira (идентификаторы правил: RV-N-12, RV-N-13) и правило Apache HTTP (идентификатор правила: RV-N-7).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Atlassian Jira.
|
Найти события Atlassian Jira в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
