Home / SB-01 Demo / Campaign Logs / JL-001

JL-001 Jenkins HTTP Access Log

Log ID:

JL-001

Source:

Jenkins controller

Representative Path:

/var/jenkins_home/logs/access_log

Collection:

Filebeat custom log input

Primary Use:

Jenkins UI/CLI 접근, 스캔성 요청, HTTP status 확인

Log Structure

Jenkins access log는 웹 서버 access log와 유사하게 source IP, timestamp, HTTP method, URI, status, response size, referrer, user-agent를 포함한다. CLI jar 다운로드나 Jenkins UI 경로 접근을 시간순으로 확인할 때 유용하다.

Important Fields

Field	Meaning
`@timestamp`	HTTP 요청 시간
`source.ip`	요청 출발지
`http.request.method`	GET, POST, HEAD 등 요청 메서드
`url.path`	요청 URI
`http.response.status_code`	응답 코드
`user_agent.original`	요청 도구 또는 브라우저 정보
`message`	원본 access log

Mapped Techniques

Technique	Mapping Reason
T1592 Gather Victim Host Information	Jenkins UI, CLI jar, 응답 확인
T1190 Exploit Public-Facing Application	Jenkins CLI 취약점 악용 전후 접근 흐름 확인
T1213 Data from Information Repositories	Jenkins 정보 저장소 접근 흐름의 HTTP 흔적 확인

KQL Draft

sb01_server: "jenkins" and sb01_log_type: "jenkins_access" and message: "jenkins-cli.jar"

Investigation Pivot

url.path와 user_agent.original에서 시작해 같은 source IP의 Jenkins Docker/System 로그와 App SSH 로그로 확장한다.