Collecter les journaux Microsoft SQL Server
Ce document explique comment collecter les journaux Microsoft SQL Server à l'aide d'un forwarder Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion MICROSOFT_SQL
.
Configurer les journaux Microsoft SQL Server à l'aide de l'agent NxLog
- Accédez à services.msc et arrêtez le service nxlog.
- Accédez à
C:\Program Files (x86)\nxlog\data
et supprimezconfigcache.dat
. - Pour l'agent Windows, accédez à l'emplacement d'installation
C:\Program Files (x86)\nxlog\conf
. Copiez et collez la configuration suivante dans le fichier
nxlog.conf
.Il s'agit d'un exemple de fichier de configuration. Pour en savoir plus sur les options de configuration, consultez le manuel de référence nxlog.
Définissez
ROOT
sur le dossier dans lequel vous avez installé NXLog, sinon NXLog ne démarrera pas.#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>
Remplacez les éléments suivants :
- FILE_PATH: emplacement du journal des erreurs Microsoft SQL
- FORWARDER_IP_ADDRESS: adresse IP du transpondeur Google SecOps
- PORT_NUMBER: numéro de port élevé
Démarrez le service NXLog à partir de
services.msc
.Les journaux de l'agent NxLog sont disponibles à l'adresse
C:\Program Files (x86)\nxlog\data\nxlog.log
.Pour en savoir plus sur la configuration et les options des fichiers de journaux d'erreurs SQL, consultez la section Services SCM : configurer les journaux d'erreurs SQL Server dans la documentation Microsoft.
Configurer le forwarder Google SecOps pour ingérer les journaux Microsoft SQL Server
- Dans le menu Google SecOps, sélectionnez Paramètres > redirecteurs > Ajouter un redirecteur.
- Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
- Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
- Dans le champ Type de journal, saisissez
Microsoft SQL Server
. - Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée suivants :
- Protocole: protocole de connexion utilisé par le collecteur pour écouter les données syslog.
- Address (Adresse) : adresse IP ou nom d'hôte cible où le collecteur réside et écoute les données syslog.
- Port: port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les transferts Google SecOps, consultez Gérer les configurations de transfert via l'interface utilisateur de Google Security Operations.
Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.