Microsoft SQL Server ログを収集する
このドキュメントでは、Google Security Operations フォワーダーを使用して Microsoft SQL Server ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル MICROSOFT_SQL
が付加されたパーサーに適用されます。
NxLog エージェントを使用して Microsoft SQL Server ログを構成する
- services.msc に移動し、nxlog サービスを停止します。
C:\Program Files (x86)\nxlog\data
に移動してconfigcache.dat
を削除します。- Windows エージェントの場合は、インストールされている場所
C:\Program Files (x86)\nxlog\conf
に移動します。 次の構成をコピーして
nxlog.conf
ファイルに貼り付けます。構成ファイルの例を次に示します。構成オプションについては、nxlog リファレンス マニュアルをご覧ください。
ROOT
を NXLog をインストールしたフォルダに設定します。設定しないと、NXLog は起動しません。#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>
次のように置き換えます。
- FILE_PATH: Microsoft SQL エラーログのロケーション
- FORWARDER_IP_ADDRESS: Google SecOps フォワーダーの IP アドレス
- PORT_NUMBER: 大きなポート番号
services.msc
から NXLog サービスを起動します。NxLog エージェントのログは
C:\Program Files (x86)\nxlog\data\nxlog.log
にあります。SQL エラーログ ファイルの構成とオプションについては、Microsoft のドキュメントの SCM サービス - SQL Server エラーログを構成するをご覧ください。
Microsoft SQL Server ログを取り込むように Google SecOps フォワーダーを構成する
- Google SecOps メニューで、[設定] > [転送元] > [新しい転送元を追加] を選択します。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
- [ログタイプ] フィールドに「
Microsoft SQL Server
」と入力します。 - [Collector type] として [Syslog] を選択します。
- 次の入力パラメータを構成します。
- プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコル。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポート。
- [送信] をクリックします。
Google SecOps フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。