Recopila registros de Microsoft SQL Server
En este documento, se describe cómo puedes recopilar los registros de Microsoft SQL Server con un reenviador de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia MICROSOFT_SQL.
Configura los registros de Microsoft SQL Server con el agente de NxLog
- Ve a services.msc y detén el servicio nxlog.
- Ve a
C:\Program Files (x86)\nxlog\datay borraconfigcache.dat. - Para el agente de Windows, ve a la ubicación instalada
C:\Program Files (x86)\nxlog\conf. Copia y pega la siguiente configuración en el archivo
nxlog.conf.Este es un archivo de configuración de muestra. Consulta el manual de referencia de nxlog para obtener información sobre las opciones de configuración.
Establece
ROOTen la carpeta en la que instalaste NXLog. De lo contrario, no se iniciará.#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>Reemplaza lo siguiente:
- FILE_PATH: La ubicación del registro de errores de Microsoft SQL
- FORWARDER_IP_ADDRESS: La dirección IP del reenviador de SecOps de Google
- PORT_NUMBER: Un número de puerto alto
Inicia el servicio NXLog desde
services.msc.Los registros del agente de NxLog están disponibles en
C:\Program Files (x86)\nxlog\data\nxlog.log.Para obtener información sobre la configuración y las opciones de los archivos de registro de errores de SQL, consulta la sección SCM Services - Configure SQL Server Error Logs en la documentación de Microsoft.
Configura el reenviador de SecOps de Google para transferir registros de Microsoft SQL Server
- En el menú de Google SecOps, selecciona Configuración > Reenvío > Agregar reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, ingresa un nombre único para el recopilador.
- En el campo Tipo de registro, ingresa
Microsoft SQL Server. - Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada:
- Protocolo: Es el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: Es la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Es el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíos de Google SecOps, consulta Cómo administrar la configuración de reenvío a través de la IU de Google Security Operations.
Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
¿Qué sigue?
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.