Collecter les journaux Microsoft SQL Server

Compatible avec:

Ce document explique comment collecter les journaux Microsoft SQL Server à l'aide d'un forwarder Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion MICROSOFT_SQL.

Configurer les journaux Microsoft SQL Server à l'aide de l'agent NxLog

  1. Accédez à services.msc et arrêtez le service nxlog.
  2. Accédez à C:\Program Files (x86)\nxlog\data et supprimez configcache.dat.
  3. Pour l'agent Windows, accédez à l'emplacement d'installation C:\Program Files (x86)\nxlog\conf.

  4. Copiez et collez la configuration suivante dans le fichier nxlog.conf.

    Il s'agit d'un exemple de fichier de configuration. Pour en savoir plus sur les options de configuration, consultez le manuel de référence nxlog.

  5. Définissez ROOT sur le dossier dans lequel vous avez installé NXLog, sinon NXLog ne démarrera pas.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Remplacez les éléments suivants :

    • FILE_PATH: emplacement du journal des erreurs Microsoft SQL
    • FORWARDER_IP_ADDRESS: adresse IP du transpondeur Google SecOps
    • PORT_NUMBER: numéro de port élevé

  6. Démarrez le service NXLog à partir de services.msc.

    Les journaux de l'agent NxLog sont disponibles à l'adresse C:\Program Files (x86)\nxlog\data\nxlog.log.

    Pour en savoir plus sur la configuration et les options des fichiers de journaux d'erreurs SQL, consultez la section Services SCM : configurer les journaux d'erreurs SQL Server dans la documentation Microsoft.

Configurer le forwarder Google SecOps pour ingérer les journaux Microsoft SQL Server

  1. Dans le menu Google SecOps, sélectionnez Paramètres > redirecteurs > Ajouter un redirecteur.
  2. Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
  3. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  4. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  5. Dans le champ Type de journal, saisissez Microsoft SQL Server.
  6. Sélectionnez Syslog comme type de collecteur.
  7. Configurez les paramètres d'entrée suivants :
    • Protocole: protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Address (Adresse) : adresse IP ou nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: port cible sur lequel le collecteur réside et écoute les données syslog.
  8. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google SecOps, consultez Gérer les configurations de transfert via l'interface utilisateur de Google Security Operations.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.

Étape suivante