Битрикс24: сбор из СУБД MySQL (MariaDB)

Данное руководство описывает процесс настройки сбора и отправки событий Битрикс24 в R-Vision SIEM.

Предварительные требования

  • Сетевая доступность сервера СУБД Битрикс24 по целевому порту и протоколу для каждой ноды кластера SIEM.

  • Учетная запись в СУБД с правами на чтение таблицы b_event_log (сбор событий из БД).

Настройка СУБД MySQL (MariaDB)

Создание учетной записи в СУБД MySQL (MariaDB)

Для создания сервисной УЗ подключитесь к СУБД с правами администратора. Для этого на сервере с установленной СУБД выполните следующие действия:

  1. Выполните следующую команду от имени пользователя root:

    mysql -u root -p

  2. Создайте сервисную учетную запись, выполнив следующую команду:

    CREATE USER 'reader'@'localhost' IDENTIFIED BY 'passw0rd';

  3. Предоставьте сервисной учетной записи права на подключение к базе и чтение таблицы:

    GRANT CONNECT ON DATABASE sitemanager to reader;
GRANT SELECT ON reader TO 'kasper'@'localhost';

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения — введите строку вида:

        jdbc:mysql://DBSERVER:3306/sitemanager?user=reader&password=passw0rd

        Здесь:

        • DBSERVER — FQDN или IP-адрес сервера СУБД.

        • 3306 — порт подключения.

        1c bitrix secret

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант MySQL.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: введите запрос вида:

      SELECT
    ID as ident
    ,TIMESTAMP_X
    ,SEVERITY
    ,AUDIT_TYPE_ID
    ,MODULE_ID
    ,ITEM_ID
    ,REMOTE_ADDR
    ,USER_AGENT
    ,REQUEST_URI
    ,USER_ID
    ,DESCRIPTION
    ,"Bitrix24" as appname
    ,@@hostname as hostname
FROM b_event_log WHERE ID > ?
ORDER BY ID ASC;

    • Поле идентификатора: введите ключ ident со значением 1.

    • Интервал запроса, секунд: введите значение 15.

  4. Добавьте на конвейер элемент Нормализатор с правилом 1C:Bitrix24 (идентификатор правила: RV-N-307).

  5. Соедините нормализатор с точкой входа.

  6. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  7. Соедините конечную точку с нормализатором.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

1c bitrix pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события из MySQL.

Найти события Битрикс24 в хранилище можно по следующему фильтру:

device_product = "bitrix24"

1c bitrix storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь