Coletar registros do Microsoft SQL Server

Compatível com:

Este documento descreve como coletar os registros do Microsoft SQL Server usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência MICROSOFT_SQL.

Configurar os registros do Microsoft SQL Server usando o agente NxLog

  1. Acesse services.msc e interrompa o serviço nxlog.
  2. Acesse C:\Program Files (x86)\nxlog\data e exclua configcache.dat.
  3. Para o agente do Windows, acesse o local de instalação C:\Program Files (x86)\nxlog\conf.

  4. Copie e cole a seguinte configuração no arquivo nxlog.conf.

    Este é um arquivo de configuração de exemplo. Consulte o manual de referência do nxlog (em inglês) para saber mais sobre as opções de configuração.

  5. Defina ROOT como a pasta em que você instalou o NXLog. Caso contrário, ele não será iniciado.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Substitua:

    • FILE_PATH: o local do registro de erros do Microsoft SQL
    • FORWARDER_IP_ADDRESS: o endereço IP do encaminhador do Google SecOps
    • PORT_NUMBER: um número de porta alto

  6. Inicie o serviço NXLog em services.msc.

    Os registros do agente NxLog estão disponíveis em C:\Program Files (x86)\nxlog\data\nxlog.log.

    Para informações sobre a configuração e as opções de arquivos de registro de erros do SQL, consulte a seção SCM Services - Configure SQL Server Error Logs na documentação da Microsoft.

Configurar o forwarder do Google SecOps para ingerir registros do Microsoft SQL Server

  1. No menu Google SecOps, selecione Configurações > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, insira um nome exclusivo.
  3. Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
  4. No campo Nome do coletor, insira um nome exclusivo.
  5. No campo Tipo de registro, insira Microsoft SQL Server.
  6. Selecione Syslog como o Tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: o protocolo de conexão que o coletor usa para detectar dados do syslog.
    • Endereço: o endereço IP ou nome do host de destino em que o coletor reside e ouve os dados do syslog.
    • Porta: a porta de destino em que o coletor reside e detecta os dados do syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhadores pela interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte da Google Security Operations.

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.