Microsoft SQL Server 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 전달자를 사용하여 Microsoft SQL Server 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 MICROSOFT_SQL 수집 라벨이 있는 파서에 적용됩니다.

NxLog 에이전트를 사용하여 Microsoft SQL Server 로그 구성

  1. services.msc로 이동하여 nxlog 서비스를 중지합니다.
  2. C:\Program Files (x86)\nxlog\data로 이동하여 configcache.dat를 삭제합니다.
  3. Windows 에이전트의 경우 설치된 위치 C:\Program Files (x86)\nxlog\conf로 이동합니다.

  4. 다음 구성을 복사하여 nxlog.conf 파일에 붙여넣습니다.

    다음은 샘플 구성 파일입니다. 구성 옵션에 관한 nxlog 참조 설명서를 참고하세요.

  5. ROOT를 NXLog를 설치한 폴더로 설정합니다. 그러지 않으면 NXLog가 시작되지 않습니다.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    다음을 바꿉니다.

    • FILE_PATH: Microsoft SQL 오류 로그 위치
    • FORWARDER_IP_ADDRESS: Google SecOps 전달자 IP 주소
    • PORT_NUMBER: 높은 포트 번호

  6. services.msc에서 NXLog 서비스를 시작합니다.

    NxLog 에이전트 로그는 C:\Program Files (x86)\nxlog\data\nxlog.log에서 확인할 수 있습니다.

    SQL 오류 로그 파일의 구성 및 옵션에 관한 자세한 내용은 Microsoft 문서SCM 서비스 - SQL Server 오류 로그 구성 섹션을 참고하세요.

Microsoft SQL Server 로그를 수집하도록 Google SecOps 전달자 구성

  1. Google SecOps 메뉴에서 설정 > 전달자 > 새 전달자 추가를 선택합니다.
  2. 전달자 이름 입력란에 전달자의 고유한 이름을 입력합니다.
  3. 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
  4. 수집기 이름 입력란에 수집기의 고유한 이름을 입력합니다.
  5. 로그 유형 필드에 Microsoft SQL Server을 입력합니다.
  6. 수집기 유형으로 Syslog를 선택합니다.
  7. 다음 입력 매개변수를 구성합니다.
    • 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜입니다.
    • 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름입니다.
    • 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트입니다.
  8. 제출을 클릭합니다.

Google SecOps 전달자에 관한 자세한 내용은 Google Security Operations UI를 통해 전달자 구성 관리를 참고하세요.

전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

다음 단계