收集 Microsoft SQL Server 日志

本文档介绍了如何使用 Google Security Operations 转发器收集 Microsoft SQL Server 日志。

如需了解详情，请参阅将数据提取到 Google 安全运营中心。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 MICROSOFT_SQL 注入标签的解析器。

使用 NxLog 代理配置 Microsoft SQL Server 日志

1. 前往 services.msc，然后停止 nxlog 服务。
2. 前往 C:\Program Files (x86)\nxlog\data 并删除 configcache.dat。
3. 对于 Windows 代理，请前往安装位置 C:\Program Files (x86)\nxlog\conf。

4. 将以下配置复制并粘贴到 nxlog.conf 文件中。

   以下是示例配置文件。如需了解配置选项，请参阅 nxlog 参考手册。

5. 将 ROOT 设置为安装 NXLog 的文件夹，否则 NXLog 将无法启动。

      #define ROOT C:\Program Files\nxlog
      define ROOT C:\Program Files (x86)\nxlog
      Moduledir %ROOT%\modules
      CacheDir %ROOT%\data
      Pidfile %ROOT%\data\nxlog.pid
      SpoolDir %ROOT%\data
      LogFile %ROOT%\data\nxlog.log
      <Extension charconv>
          Module xm_charconv
          AutodetectCharsets UTF-8, UCS-2LE
      </Extension>
      # Load the json extension
      <Extension json>
          Module      xm_json
      </Extension>
      <Input sql-ERlogs>
          Module      im_file
      File "FILE_PATH"
          ReadFromLast False
          SavePos False
      Exec $FileName = file_name();
      Exec $Hostname = hostname_fqdn();
      Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
      </Input>
      # Send the read log lines out to nxlog server
      <Output out-sqlERlogs>
          Module      om_tcp
          Host        FORWARDER_IP_ADDRESS
          Port        PORT_NUMBER
      OutputType LineBased
      </Output>
      # Build the route from nxlog on Windows to nxlog on server
      <Route 1>
          Path        sql-ERlogs => out-sqlERlogs
      </Route>
   

   替换以下内容：

   • FILE_PATH：Microsoft SQL 错误日志的位置
   • FORWARDER_IP_ADDRESS：Google SecOps 转发器 IP 地址
   • PORT_NUMBER：高端口号

6. 从 services.msc 启动 NXLog 服务。

   NxLog 代理日志位于 C:\Program Files (x86)\nxlog\data\nxlog.log。

   如需了解 SQL 错误日志文件的配置和选项，请参阅 Microsoft 文档中的 SCM 服务 - 配置 SQL Server 错误日志部分。

配置 Google SecOps 转发器以提取 Microsoft SQL Server 日志

1. 在 Google SecOps 菜单中，依次选择设置 > 转发器 > 添加新的转发器。
2. 在转发器名称字段中，为转发器输入一个唯一名称。
3. 点击提交。系统会添加转发器，并显示添加收集器配置窗口。
4. 在收集器名称字段中，为收集器输入一个唯一名称。
5. 在日志类型字段中，输入 Microsoft SQL Server。
6. 选择 Syslog 作为收集器类型。
7. 配置以下输入参数：
   • 协议：收集器用于监听 syslog 数据的连接协议。
   • 地址：收集器驻留并监听 syslog 数据的目标 IP 地址或主机名。
   • 端口：收集器所在并监听 syslog 数据的目标端口。
8. 点击提交。

如需详细了解 Google SecOps 转发器，请参阅通过 Google Security Operations 界面管理转发器配置。

如果您在创建转发器时遇到问题，请与 Google 安全运营支持团队联系。

后续步骤

• 将数据提取到 Google Security Operations

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。