Raccogliere i log di Microsoft SQL Server
Questo documento descrive come raccogliere i log di Microsoft SQL Server utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione MICROSOFT_SQL.
Configura i log di Microsoft SQL Server utilizzando l'agente NxLog
- Vai a services.msc e interrompi il servizio nxlog.
- Vai a
C:\Program Files (x86)\nxlog\dataed eliminaconfigcache.dat. - Per l'agente Windows, vai alla posizione di installazione
C:\Program Files (x86)\nxlog\conf. Copia e incolla la seguente configurazione nel file
nxlog.conf.Questo è un file di configurazione di esempio. Consulta il manuale di riferimento di nxlog per informazioni sulle opzioni di configurazione.
Imposta
ROOTsulla cartella in cui hai installato NXLog, altrimenti NXLog non verrà avviato.#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>Sostituisci quanto segue:
- FILE_PATH: la posizione del log degli errori di Microsoft SQL
- FORWARDER_IP_ADDRESS: l'indirizzo IP del forwarder Google SecOps
- PORT_NUMBER: un numero di porta elevato
Avvia il servizio NXLog da
services.msc.I log dell'agente NxLog sono disponibili all'indirizzo
C:\Program Files (x86)\nxlog\data\nxlog.log.Per informazioni sulla configurazione e sulle opzioni per i file di log degli errori SQL, consulta la sezione SCM Services - Configure SQL Server Error Logs (Servizi SCM - Configura i log degli errori di SQL Server) nella documentazione Microsoft.
Configura il forwarder Google SecOps per importare i log di Microsoft SQL Server
- Nel menu Google SecOps, seleziona Impostazioni > Inoltro > Aggiungi nuovo inoltro.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
- Nel campo Tipo di log, inserisci
Microsoft SQL Server. - Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input:
- Protocollo: il protocollo di connessione utilizzato dal collector per ascoltare i dati syslog.
- Indirizzo: l'indirizzo IP o il nome host di destinazione in cui risiede il collector e ascolta i dati syslog.
- Porta: la porta di destinazione in cui risiede il collector e rimane in ascolto per i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google SecOps, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google Security Operations.
Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.