Microsoft SQL Server-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie die Microsoft SQL Server-Protokolle mithilfe eines Google Security Operations-Weiterleiters erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel MICROSOFT_SQL
.
Microsoft SQL Server-Protokolle mit dem NxLog-Agenten konfigurieren
- Rufen Sie services.msc auf und beenden Sie den Dienst nxlog.
- Rufen Sie
C:\Program Files (x86)\nxlog\data
auf und löschen Sieconfigcache.dat
. - Rufen Sie für den Windows-Agenten den Installationsort
C:\Program Files (x86)\nxlog\conf
auf. Kopieren Sie die folgende Konfiguration und fügen Sie sie in die Datei
nxlog.conf
ein.Dies ist eine Beispielkonfigurationsdatei. Informationen zu den Konfigurationsoptionen finden Sie im nxlog-Referenzhandbuch.
Legen Sie
ROOT
auf den Ordner fest, in dem Sie NXLog installiert haben, da NXLog sonst nicht gestartet wird.#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>
Ersetzen Sie Folgendes:
- FILE_PATH: Speicherort des Microsoft SQL-Fehlerlogs
- FORWARDER_IP_ADDRESS: die IP-Adresse des Google SecOps-Weiterleitungsdiensts
- PORT_NUMBER: eine hohe Portnummer
Starten Sie den NXLog-Dienst über
services.msc
.NxLog-Agent-Logs sind unter
C:\Program Files (x86)\nxlog\data\nxlog.log
verfügbar.Informationen zur Konfiguration und zu den Optionen für SQL-Fehlerprotokolldateien finden Sie in der Microsoft-Dokumentation im Abschnitt SCM Services – SQL Server-Fehlerprotokolle konfigurieren.
Google SecOps-Weiterleiter für die Aufnahme von Microsoft SQL Server-Protokollen konfigurieren
- Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Geben Sie im Feld Log-Typ
Microsoft SQL Server
ein. - Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Das Verbindungsprotokoll, das der Collector verwendet, um syslog-Daten zu empfangen.
- Adresse: Die Ziel-IP-Adresse oder der Ziel-Hostname, an dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Der Zielport, an dem sich der Collector befindet und auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.