Microsoft SQL Server ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して Microsoft SQL Server ログを収集する方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル MICROSOFT_SQL が付加されたパーサーに適用されます。

NxLog エージェントを使用して Microsoft SQL Server ログを構成する

  1. services.msc に移動し、nxlog サービスを停止します。
  2. C:\Program Files (x86)\nxlog\data に移動して configcache.dat を削除します。
  3. Windows エージェントの場合は、インストールされている場所 C:\Program Files (x86)\nxlog\conf に移動します。
  4. 次の構成をコピーして nxlog.conf ファイルに貼り付けます。

    構成ファイルの例を次に示します。構成オプションについては、nxlog リファレンス マニュアルをご覧ください。

  5. ROOT を NXLog をインストールしたフォルダに設定します。設定しないと、NXLog は起動しません。

       #define ROOT C:\Program Files\nxlog
       define ROOT C:\Program Files (x86)\nxlog
       Moduledir %ROOT%\modules
       CacheDir %ROOT%\data
       Pidfile %ROOT%\data\nxlog.pid
       SpoolDir %ROOT%\data
       LogFile %ROOT%\data\nxlog.log
       <Extension charconv>
           Module xm_charconv
           AutodetectCharsets UTF-8, UCS-2LE
       </Extension>
       # Load the json extension
       <Extension json>
           Module      xm_json
       </Extension>
       <Input sql-ERlogs>
           Module      im_file
       File "FILE_PATH"
           ReadFromLast False
           SavePos False
       Exec $FileName = file_name();
       Exec $Hostname = hostname_fqdn();
       Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
       </Input>
       # Send the read log lines out to nxlog server
       <Output out-sqlERlogs>
           Module      om_tcp
           Host        FORWARDER_IP_ADDRESS
           Port        PORT_NUMBER
       OutputType LineBased
       </Output>
       # Build the route from nxlog on Windows to nxlog on server
       <Route 1>
           Path        sql-ERlogs => out-sqlERlogs
       </Route>
    

    次のように置き換えます。

    • FILE_PATH: Microsoft SQL エラーログのロケーション
    • FORWARDER_IP_ADDRESS: Google SecOps フォワーダーの IP アドレス
    • PORT_NUMBER: 大きなポート番号
  6. services.msc から NXLog サービスを起動します。

    NxLog エージェントのログは C:\Program Files (x86)\nxlog\data\nxlog.log にあります。

    SQL エラーログ ファイルの構成とオプションについては、Microsoft のドキュメントSCM サービス - SQL Server エラーログを構成するをご覧ください。

Microsoft SQL Server ログを取り込むように Google SecOps フォワーダーを構成する

  1. Google SecOps メニューで、[設定] > [転送元] > [新しい転送元を追加] を選択します。
  2. [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
  3. [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
  4. [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
  5. [ログタイプ] フィールドに「Microsoft SQL Server」と入力します。
  6. [Collector type] として [Syslog] を選択します。
  7. 次の入力パラメータを構成します。
    • プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコル。
    • Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名。
    • ポート: コレクタが存在し、syslog データをリッスンするターゲット ポート。
  8. [送信] をクリックします。

Google SecOps フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

次のステップ