« Atlassian Confluence 集成 Auditd »
Elastic 文档 Elastic 集成 Atlassian

Atlassian Jira 集成

编辑

Atlassian Jira 集成

编辑

版本

1.28.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

Jira 集成从审计日志文件或 审计 API 中收集审计日志。

身份验证设置

编辑

为 Atlassian Cloud 设置 Atlassian Jira 集成时,您需要在集成配置中使用“Jira 用户标识符”和“Jira API 令牌”字段。这些字段允许通过 基本身份验证 连接到 Atlassian Cloud REST API

如果您使用的是自托管实例,您可以使用上述“Jira 用户标识符”和“Jira API 令牌”字段,或者使用“个人访问令牌”字段来使用 PAT 进行身份验证。如果在配置中设置了“个人访问令牌”字段,它将优先于用户 ID/API 令牌字段。

日志

编辑
审计
编辑

Jira 集成从自托管 Jira 数据中心的审计日志文件或审计 API 中收集审计日志。它已使用 Jira 8.20.2 进行测试,但预计可与更新的版本配合使用。从 1.2.0 版本开始,此集成增加了对 Atlassian JIRA Cloud 的实验性支持。JIRA Cloud 仅支持使用用户名和个人访问令牌的基本身份验证。

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的映像 ID。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

event.dataset

事件数据集

常量关键字

event.module

事件模块

常量关键字

host.containerized

主机是否为容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统的代号(如果有)。

关键字

input.type

输入类型

关键字

jira.audit.affected_objects

受影响的对象

扁平化

jira.audit.changed_values

更改的值

扁平化

jira.audit.extra_attributes

额外属性

扁平化

jira.audit.method

方法

关键字

jira.audit.type.action

操作

关键字

jira.audit.type.actionI18nKey

actionI18nKey

关键字

jira.audit.type.area

区域

关键字

jira.audit.type.category

类别

关键字

jira.audit.type.categoryI18nKey

categoryI18nKey

关键字

jira.audit.type.level

审计级别

关键字

log.offset

日志偏移量

长整型
示例

audit 的示例事件如下所示

{
    "@timestamp": "2021-11-22T00:05:08.514Z",
    "agent": {
        "ephemeral_id": "4a05fc27-d72e-43ab-aa6e-e19105807ecd",
        "id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.8.0"
    },
    "data_stream": {
        "dataset": "atlassian_jira.audit",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
        "snapshot": true,
        "version": "8.8.0"
    },
    "event": {
        "action": "jira.auditing.group.created",
        "agent_id_status": "verified",
        "category": [
            "iam"
        ],
        "dataset": "atlassian_jira.audit",
        "ingested": "2023-05-09T21:23:48Z",
        "kind": "event",
        "original": "{\"affectedObjects\":[{\"name\":\"jira-software-users\",\"type\":\"GROUP\"}],\"auditType\":{\"action\":\"Group created\",\"actionI18nKey\":\"jira.auditing.group.created\",\"area\":\"USER_MANAGEMENT\",\"category\":\"group management\",\"categoryI18nKey\":\"jira.auditing.category.groupmanagement\",\"level\":\"BASE\"},\"author\":{\"id\":\"-2\",\"name\":\"Anonymous\",\"type\":\"user\"},\"changedValues\":[],\"extraAttributes\":[],\"method\":\"Browser\",\"source\":\"10.50.33.72\",\"system\":\"http://jira.internal:8088\",\"timestamp\":{\"epochSecond\":1637539508,\"nano\":514000000},\"version\":\"1.0\"}",
        "type": [
            "group",
            "creation"
        ]
    },
    "group": {
        "name": "jira-software-users"
    },
    "host": {
        "architecture": "x86_64",
        "containerized": true,
        "hostname": "docker-fleet-agent",
        "id": "cff3d165179d4aef9596ddbb263e3adb",
        "ip": [
            "172.23.0.7"
        ],
        "mac": [
            "02-42-AC-17-00-07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.10.47-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.5 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "log"
    },
    "jira": {
        "audit": {
            "affected_objects": [
                {
                    "name": "jira-software-users",
                    "type": "GROUP"
                }
            ],
            "method": "Browser",
            "type": {
                "action": "Group created",
                "actionI18nKey": "jira.auditing.group.created",
                "area": "USER_MANAGEMENT",
                "category": "group management",
                "categoryI18nKey": "jira.auditing.category.groupmanagement",
                "level": "BASE"
            }
        }
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/test-audit.log"
        },
        "offset": 0
    },
    "related": {
        "hosts": [
            "jira.internal"
        ],
        "ip": [
            "10.50.33.72"
        ],
        "user": [
            "Anonymous"
        ]
    },
    "service": {
        "address": "http://jira.internal:8088"
    },
    "source": {
        "address": "10.50.33.72",
        "ip": "10.50.33.72"
    },
    "tags": [
        "preserve_original_event",
        "jira-audit"
    ],
    "user": {
        "id": "-2",
        "name": "Anonymous"
    }
}

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.28.0

增强 (查看拉取请求)
将“preserve_original_event”标记添加到 event.kind 设置为“pipeline_error”的文档中。

8.13.0 或更高版本

1.27.2

错误修复 (查看拉取请求)
在引用提取管道中的变量时使用三括号 Mustache 模板。

8.13.0 或更高版本

1.27.1

错误修复 (查看拉取请求)
在引用提取管道中的变量时使用三括号 Mustache 模板。

8.13.0 或更高版本

1.27.0

增强 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.13.0 或更高版本

1.26.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除由 ecs@mappings 组件模板冗余的 ECS 字段。

8.13.0 或更高版本

1.25.0

增强 (查看拉取请求)
改进了空响应的处理。

8.12.0 或更高版本

1.24.0

增强 (查看拉取请求)
将敏感值设置为机密。

8.12.0 或更高版本

1.23.2

增强 (查看拉取请求)
更改了所有者

8.7.1 或更高版本

1.23.1

错误修复 (查看拉取请求)
修复 exclude_files 模式。

8.7.1 或更高版本

1.23.0

增强 (查看拉取请求)
将请求跟踪器日志计数限制为五个。

8.7.1 或更高版本

1.22.0

增强 (查看拉取请求)
ECS 版本更新为 8.11.0。

8.7.1 或更高版本

1.21.0

增强 (查看拉取请求)
改进了 event.original 检查,以避免在设置时出现错误。

8.7.1 或更高版本

1.20.0

增强 (查看拉取请求)
设置社区所有者类型。

8.7.1 或更高版本

1.19.1

错误修复 (查看拉取请求)
添加 Jira Cloud 分页的停止条件。

8.7.1 或更高版本

1.19.0

增强 (查看拉取请求)
ECS 版本更新为 8.10.0。

8.7.1 或更高版本

1.18.0

增强 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点分隔的 YAML 键。在软件包清单中添加了 owner.type: elastic

8.7.1 或更高版本

1.17.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和保存的搜索标记为“安全解决方案”并显示在安全解决方案 UI 中。

8.7.1 或更高版本

1.16.1

错误修复 (查看拉取请求)
确保正确编码 from/to 时间戳。

8.7.1 或更高版本

1.16.0

增强 (查看拉取请求)
添加设置日志文件日志条件的功能。

8.7.1 或更高版本

1.15.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.9.0。

8.7.1 或更高版本

1.14.0

增强 (查看拉取请求)
记录持续时间单位。

8.7.1 或更高版本

1.13.0

增强 (查看拉取请求)
记录有效的持续时间单位。

8.7.1 或更高版本

1.12.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.7.1 或更高版本

1.11.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.8.0。

8.7.1 或更高版本

1.10.0

增强 (查看拉取请求)
添加一个新标志以启用请求跟踪

8.7.1 或更高版本

1.9.0

增强 (查看拉取请求)
将 package-spec 版本更新为 2.7.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.7.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.6.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.1

错误修复 (查看拉取请求)
修复了没有事件的消息的处理。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.2

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

错误修复 (查看拉取请求)
阐明基本身份验证配置选项。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

错误修复 (查看拉取请求)
修复代理 URL 文档渲染问题。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
添加对 Atlassian JIRA Cloud 的支持

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
更新至 ECS 8.2

7.16.0 或更高版本
8.0.0 或更高版本

1.1.2

增强 (查看拉取请求)
更新自述文件

7.16.0 或更高版本
8.0.0 或更高版本

1.1.1

增强 (查看拉取请求)
添加多字段文档

7.16.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
更新至 ECS 8.0

7.16.0 或更高版本
8.0.0 或更高版本

1.0.1

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
软件包的初始草案

7.16.0 或更高版本
8.0.0 或更高版本
« Atlassian Confluence 集成 Auditd »