Microsoft SQL Server-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Microsoft SQL Server-Protokolle mithilfe eines Google Security Operations-Weiterleiters erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel MICROSOFT_SQL.

Microsoft SQL Server-Protokolle mit dem NxLog-Agenten konfigurieren

  1. Rufen Sie services.msc auf und beenden Sie den Dienst nxlog.
  2. Rufen Sie C:\Program Files (x86)\nxlog\data auf und löschen Sie configcache.dat.
  3. Rufen Sie für den Windows-Agenten den Installationsort C:\Program Files (x86)\nxlog\conf auf.
  4. Kopieren Sie die folgende Konfiguration und fügen Sie sie in die Datei nxlog.conf ein.

    Dies ist eine Beispielkonfigurationsdatei. Informationen zu den Konfigurationsoptionen finden Sie im nxlog-Referenzhandbuch.

  5. Legen Sie ROOT auf den Ordner fest, in dem Sie NXLog installiert haben, da NXLog sonst nicht gestartet wird.

       #define ROOT C:\Program Files\nxlog
       define ROOT C:\Program Files (x86)\nxlog
       Moduledir %ROOT%\modules
       CacheDir %ROOT%\data
       Pidfile %ROOT%\data\nxlog.pid
       SpoolDir %ROOT%\data
       LogFile %ROOT%\data\nxlog.log
       <Extension charconv>
           Module xm_charconv
           AutodetectCharsets UTF-8, UCS-2LE
       </Extension>
       # Load the json extension
       <Extension json>
           Module      xm_json
       </Extension>
       <Input sql-ERlogs>
           Module      im_file
       File "FILE_PATH"
           ReadFromLast False
           SavePos False
       Exec $FileName = file_name();
       Exec $Hostname = hostname_fqdn();
       Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
       </Input>
       # Send the read log lines out to nxlog server
       <Output out-sqlERlogs>
           Module      om_tcp
           Host        FORWARDER_IP_ADDRESS
           Port        PORT_NUMBER
       OutputType LineBased
       </Output>
       # Build the route from nxlog on Windows to nxlog on server
       <Route 1>
           Path        sql-ERlogs => out-sqlERlogs
       </Route>
    

    Ersetzen Sie Folgendes:

    • FILE_PATH: Speicherort des Microsoft SQL-Fehlerlogs
    • FORWARDER_IP_ADDRESS: die IP-Adresse des Google SecOps-Weiterleitungsdiensts
    • PORT_NUMBER: eine hohe Portnummer
  6. Starten Sie den NXLog-Dienst über services.msc.

    NxLog-Agent-Logs sind unter C:\Program Files (x86)\nxlog\data\nxlog.log verfügbar.

    Informationen zur Konfiguration und zu den Optionen für SQL-Fehlerprotokolldateien finden Sie in der Microsoft-Dokumentation im Abschnitt SCM Services – SQL Server-Fehlerprotokolle konfigurieren.

Google SecOps-Weiterleiter für die Aufnahme von Microsoft SQL Server-Protokollen konfigurieren

  1. Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
  2. Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
  3. Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  4. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  5. Geben Sie im Feld Log-Typ Microsoft SQL Server ein.
  6. Wählen Sie Syslog als Typ des Collectors aus.
  7. Konfigurieren Sie die folgenden Eingabeparameter:
    • Protokoll: Das Verbindungsprotokoll, das der Collector verwendet, um syslog-Daten zu empfangen.
    • Adresse: Die Ziel-IP-Adresse oder der Ziel-Hostname, an dem sich der Collector befindet und auf Syslog-Daten wartet.
    • Port: Der Zielport, an dem sich der Collector befindet und auf Syslog-Daten wartet.
  8. Klicken Sie auf Senden.

Weitere Informationen zu den Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Nächste Schritte