Atlassian Confluence

Данное руководство описывает процесс настройки сбора и отправки событий Atlassian Confluence в R-Vision SIEM.

Настройка Atlassian Confluence

Для настройки Confluence выполните следующие действия:

  1. Убедитесь, что формат сообщения в журнале atlassian-confluence.log стандартный, для этого:

    1. Откройте файл /opt/atlassian/confluence/confluence/WEB-INF/classes/log4j.properties.

    2. Убедитесь, что в нем присутствует следующий параметр:

      log4j.appender.confluencelog.layout.ConversionPattern=%d %p [%t] [%c{4}] %M %enc{%m}{JSON}%n

  2. Настройте передачу событий из файла, создав файл /etc/rsyslog.d/01-confluence.conf со следующим содержимым:

    module(load="imfile" mode="inotify")
input(
    type="imfile"
    File="/var/lib/docker/volumes/294fbb67214441fa230beec2f238f1ae8877f5f875f8035db686441507c2ea89/_data/logs/atlassian-confluence.log"
    Tag="Confluence_Log"
    Severity="info"
    Facility="local4"
)

input(
    type="imfile"
    File="/var/lib/docker/volumes/docker_opt/_data/logs/confluence_access.*.log"
    Tag="Confluence_Access"
    Severity="info"
    Facility="local4"
)

if $syslogtag == 'Confluence_Log' or $syslogtag == 'Confluence_Access' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
}

    Здесь:

    • <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.

    • <port> — порт точки входа Syslog в конвейере SIEM.

    • <protocol> — сетевой протокол: tcp или udp.

  3. Перезапустите службу rsyslog.service с помощью команды:

    systemctl restart rsyslog.service
Если используется Docker-версия Confluence, при запуске контейнера может потребоваться дополнительное монтирование раздела /opt/atlassian/confluence в файловую систему хоста.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Коллекторы и создайте новый конвейер в коллекторе.

  2. Добавьте в конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: Syslog.

    • Порт точки входа и протокол: в соответствии с настройками на стороне Atlassian Confluence.

  3. Создайте VRL-трансформацию:

    .dvendor = "Atlassian"
.dproduct = "Confluence"

  4. Соедините добавленную точку входа и VRL-трансформацию.

  5. Добавьте на конвейер элемент Нормализатор с правилом Atlassian Confluence 8.4 (идентификатор правила: RV-N-10).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

atlassian confluence pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Atlassian Confluence.

Найти события Atlassian Confluence в хранилище можно по следующему фильтру:

dvendor = "Atlassian"
dproduct = "Confluence"

atlassian events storage filter vendor

atlassian confluence event storage filter

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь