Mengumpulkan log Microsoft SQL Server

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Microsoft SQL Server menggunakan forwarder Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer MICROSOFT_SQL.

Mengonfigurasi log Microsoft SQL Server menggunakan agen NxLog

  1. Buka services.msc dan hentikan layanan nxlog.
  2. Buka C:\Program Files (x86)\nxlog\data dan hapus configcache.dat.
  3. Untuk agen Windows, buka lokasi penginstalan C:\Program Files (x86)\nxlog\conf.

  4. Salin dan tempel konfigurasi berikut ke dalam file nxlog.conf.

    Ini adalah contoh file konfigurasi. Lihat manual referensi nxlog tentang opsi konfigurasi.

  5. Tetapkan ROOT ke folder tempat Anda menginstal NXLog. Jika tidak, NXLog tidak akan dimulai.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Ganti kode berikut:

    • FILE_PATH: lokasi log error Microsoft SQL
    • FORWARDER_IP_ADDRESS: alamat IP penerusan Google SecOps
    • PORT_NUMBER: nomor port tinggi

  6. Mulai layanan NXLog dari services.msc.

    Log agen NxLog tersedia di C:\Program Files (x86)\nxlog\data\nxlog.log.

    Untuk informasi tentang konfigurasi dan opsi untuk file log error SQL, lihat bagian SCM Services - Configure SQL Server Error Logs di dokumentasi Microsoft.

Mengonfigurasi forwarder Google SecOps untuk menyerap log Microsoft SQL Server

  1. Di menu Google SecOps, pilih Setelan > Pengirim > Tambahkan pengirim baru.
  2. Di kolom Nama pengirim, masukkan nama unik untuk pengirim.
  3. Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
  4. Di kolom Nama kolektor, masukkan nama unik untuk kolektor.
  5. Di kolom Log type, masukkan Microsoft SQL Server.
  6. Pilih Syslog sebagai Jenis kolektor.
  7. Konfigurasikan parameter input berikut:
    • Protokol: protokol koneksi yang digunakan kolektor untuk memproses data syslog.
    • Address: alamat IP target atau nama host tempat kolektor berada dan memproses data syslog.
    • Port: port target tempat kolektor berada dan memproses data syslog.
  8. Klik Kirim.

Untuk informasi selengkapnya tentang forwarder Google SecOps, lihat Mengelola konfigurasi forwarder melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Langkah selanjutnya