Collecter les journaux Microsoft SQL Server

Compatible avec:

Ce document explique comment collecter les journaux Microsoft SQL Server à l'aide d'un forwarder Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion MICROSOFT_SQL.

Configurer les journaux Microsoft SQL Server à l'aide de l'agent NxLog

  1. Accédez à services.msc et arrêtez le service nxlog.
  2. Accédez à C:\Program Files (x86)\nxlog\data et supprimez configcache.dat.
  3. Pour l'agent Windows, accédez à l'emplacement d'installation C:\Program Files (x86)\nxlog\conf.
  4. Copiez et collez la configuration suivante dans le fichier nxlog.conf.

    Il s'agit d'un exemple de fichier de configuration. Pour en savoir plus sur les options de configuration, consultez le manuel de référence nxlog.

  5. Définissez ROOT sur le dossier dans lequel vous avez installé NXLog, sinon NXLog ne démarrera pas.

       #define ROOT C:\Program Files\nxlog
       define ROOT C:\Program Files (x86)\nxlog
       Moduledir %ROOT%\modules
       CacheDir %ROOT%\data
       Pidfile %ROOT%\data\nxlog.pid
       SpoolDir %ROOT%\data
       LogFile %ROOT%\data\nxlog.log
       <Extension charconv>
           Module xm_charconv
           AutodetectCharsets UTF-8, UCS-2LE
       </Extension>
       # Load the json extension
       <Extension json>
           Module      xm_json
       </Extension>
       <Input sql-ERlogs>
           Module      im_file
       File "FILE_PATH"
           ReadFromLast False
           SavePos False
       Exec $FileName = file_name();
       Exec $Hostname = hostname_fqdn();
       Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
       </Input>
       # Send the read log lines out to nxlog server
       <Output out-sqlERlogs>
           Module      om_tcp
           Host        FORWARDER_IP_ADDRESS
           Port        PORT_NUMBER
       OutputType LineBased
       </Output>
       # Build the route from nxlog on Windows to nxlog on server
       <Route 1>
           Path        sql-ERlogs => out-sqlERlogs
       </Route>
    

    Remplacez les éléments suivants :

    • FILE_PATH: emplacement du journal des erreurs Microsoft SQL
    • FORWARDER_IP_ADDRESS: adresse IP du transpondeur Google SecOps
    • PORT_NUMBER: numéro de port élevé
  6. Démarrez le service NXLog à partir de services.msc.

    Les journaux de l'agent NxLog sont disponibles à l'adresse C:\Program Files (x86)\nxlog\data\nxlog.log.

    Pour en savoir plus sur la configuration et les options des fichiers de journaux d'erreurs SQL, consultez la section Services SCM : configurer les journaux d'erreurs SQL Server dans la documentation Microsoft.

Configurer le forwarder Google SecOps pour ingérer les journaux Microsoft SQL Server

  1. Dans le menu Google SecOps, sélectionnez Paramètres > redirecteurs > Ajouter un redirecteur.
  2. Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
  3. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  4. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  5. Dans le champ Type de journal, saisissez Microsoft SQL Server.
  6. Sélectionnez Syslog comme type de collecteur.
  7. Configurez les paramètres d'entrée suivants :
    • Protocole: protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Address (Adresse) : adresse IP ou nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: port cible sur lequel le collecteur réside et écoute les données syslog.
  8. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google SecOps, consultez Gérer les configurations de transfert via l'interface utilisateur de Google Security Operations.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.

Étape suivante