Atlassian Jira

Данное руководство описывает процесс настройки сбора и отправки событий Atlassian Jira в R-Vision SIEM.

Настройка Atlassian Jira
Настройка в R-Vision SIEM
Таблица маппинга

Настройка Atlassian Jira

В инструкции рассматривается сбор событий из следующих журналов:

atlassian-jira-http-access.log — журнал access web службы.
atlassian-jira.log — общий лог, в который пишут логи отдельные службы.
audit/YYYYmmdd.00000.audit.log — audit-журнал, доступный так же из сети по адресу /plugins/servlet/audit.

Настройка журналирования Atlassian Jira

Чтобы настроить журналирование Jira:

Включите логирование журнала access в настройках Jira:
Убедитесь, что формат сообщения в журнале atlassian-jira.log стандартный, для этого:
1. Откройте файл /opt/atlassian/jira/atlassian-jira/WEB-INF/classes/log4j2.xml.
2. Убедитесь, что в нем присутствует параметр:
  log4j.appender.confluencelog.layout.ConversionPattern=%d %p [%t] [%c{4}] %M %enc{%m}{JSON}%n

Настройте передачу событий из файла. Для этого создайте файл /etc/rsyslog.d/02-jira.conf со следующим содержимым:

module(load="imfile" mode="inotify")
input(
    type="imfile"
    File="/var/lib/docker/volumes/docker_jiraVar/_data/log/atlassian-jira.log"
    Tag="Jira_Log"
    Severity="info"
    Facility="local4"
)

input(
    type="imfile"
    File="/var/lib/docker/volumes/docker_jiraVar/_data/log/atlassian-jira-http-access.log"
    Tag="Jira_Apache_Access"
    Severity="info"
    Facility="local4"
)


input(
    type="imfile"
    File="/var/lib/docker/volumes/docker_jiraVar/_data/log/audit/*.audit.log"
    Tag="Jira_Audit"
    Severity="info"
    Facility="local4"
)


if $syslogtag == 'Jira_Log' or $syslogtag == 'Jira_Apache_Access' or $syslogtag == 'Jira_Audit' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
}

Здесь:

<target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
<port> — порт точки входа Syslog в конвейере SIEM.
<protocol> — сетевой протокол: tcp или udp.

Перезапустите службу rsyslog.service с помощью команды:
```
systemctl restart rsyslog.service
```
Настройте нормализацию события журнала Apache Access, для этого:
1. Откройте файл /opt/atlassian/jira/conf/server.xml.
2. В файле server.xml найдите параметр className и измените его pattern на следующий:
  %a %{jira.request.id}r %{jira.request.username}r %t "%m %U%q %H" %s %b "%{Referer}i" "%{User-Agent}i"

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

Перейдите в раздел Ресурсы → Коллекторы и создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Тип точки входа: Syslog.
- Порт точки входа и протокол: в соответствии с настройками на стороне Atlassian Jira.
Создайте VRL-трансформацию:
```
.dvendor = "Atlassian"
.dproduct = "Jira"
```
Соедините добавленную точку входа и VRL-трансформацию.
Добавьте на конвейер элемент Нормализатор с правилами Atlassian Jira (идентификаторы правил: RV-N-12, RV-N-13) и правило Apache HTTP (идентификатор правила: RV-N-7).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

atlassian jira pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Atlassian Jira.

Найти события Atlassian Jira в хранилище можно по следующему фильтру:

dvendor = "Atlassian"
dproduct = "Jira"

atlassian events storage filter vendor

atlassian jira event storage filter

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?