Microsoft SQL Server ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して Microsoft SQL Server ログを収集する方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル MICROSOFT_SQL が付加されたパーサーに適用されます。

NxLog エージェントを使用して Microsoft SQL Server ログを構成する

  1. services.msc に移動し、nxlog サービスを停止します。
  2. C:\Program Files (x86)\nxlog\data に移動して configcache.dat を削除します。
  3. Windows エージェントの場合は、インストールされている場所 C:\Program Files (x86)\nxlog\conf に移動します。

  4. 次の構成をコピーして nxlog.conf ファイルに貼り付けます。

    構成ファイルの例を次に示します。構成オプションについては、nxlog リファレンス マニュアルをご覧ください。

  5. ROOT を NXLog をインストールしたフォルダに設定します。設定しないと、NXLog は起動しません。

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    次のように置き換えます。

    • FILE_PATH: Microsoft SQL エラーログのロケーション
    • FORWARDER_IP_ADDRESS: Google SecOps フォワーダーの IP アドレス
    • PORT_NUMBER: 大きなポート番号

  6. services.msc から NXLog サービスを起動します。

    NxLog エージェントのログは C:\Program Files (x86)\nxlog\data\nxlog.log にあります。

    SQL エラーログ ファイルの構成とオプションについては、Microsoft のドキュメントSCM サービス - SQL Server エラーログを構成するをご覧ください。

Microsoft SQL Server ログを取り込むように Google SecOps フォワーダーを構成する

  1. Google SecOps メニューで、[設定] > [転送元] > [新しい転送元を追加] を選択します。
  2. [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
  3. [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
  4. [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
  5. [ログタイプ] フィールドに「Microsoft SQL Server」と入力します。
  6. [Collector type] として [Syslog] を選択します。
  7. 次の入力パラメータを構成します。
    • プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコル。
    • Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名。
    • ポート: コレクタが存在し、syslog データをリッスンするターゲット ポート。
  8. [送信] をクリックします。

Google SecOps フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

次のステップ