Sonatype Nexus Repository: настройка источника

Данное руководство описывает процесс настройки сбора событий Sonatype Nexus Repository и их отправки в R-Vision SIEM.

Настройка Sonatype Nexus Repository

Журналирование событий сервиса Sonatype Nexus Repository по умолчанию ведется в директории /sonatype-work/nexus3/log/, где установлено приложение. Дополнительных действий по настройке журналирования не требуется.

Отправка событий Sonatype Nexus Repository

Чтобы настроить отправку событий сервера Sonatype Nexus Repository, выполните следующие шаги:

  1. Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).

  2. Добавьте в файл следующие правила:

    module(load="imfile" PollingInterval="10")
input(type="imfile"
      File="/opt/sonatype-work/nexus3/log/audit/audit.log"
      Tag="nexus")
if $syslogtag contains 'nexus' then {
  action(type="omfwd" target="<target>" port="<port>" protocol="udp")
  stop
}

    Здесь:

    • <target> — введите IP-адрес или полное доменное имя (FQDN) сервера syslog или узла кластера Kubernetes, на котором запущен коллектор SIEM.

    • <port> — для отправки событий на конвейер SIEM укажите порт точки входа Syslog — значение в диапазоне 30000—​32767.

  3. Перезапустите rsyslog, чтобы изменения вступили в силу:

    sudo systemctl restart rsyslog

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне сервера Nexus Repository.

    • Протокол: выберите вариант в соответствии с настройками на стороне сервера Nexus Repository.

  3. Добавьте на конвейер элемент Нормализатор с правилом Nexus (идентификатор правила: RV-N-304).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

sonatype nexus repository scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Sonatype Nexus Repository.

Найти события Sonatype Nexus Repository в хранилище можно по следующему фильтру:

device_product = "nexus"

sonatype nexus repository events search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь