收集 Microsoft SQL Server 記錄檔

支援以下發布途徑:

本文說明如何使用 Google 安全作業轉送器收集 Microsoft SQL Server 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤可識別剖析器,將原始記錄資料正規化為結構化 UDM 格式。本文中的資訊適用於使用 MICROSOFT_SQL 攝入標籤的剖析器。

使用 NxLog 代理程式設定 Microsoft SQL Server 記錄

  1. 前往 services.msc,然後停止 nxlog 服務。
  2. 前往 C:\Program Files (x86)\nxlog\data 並刪除 configcache.dat
  3. 如為 Windows 代理程式,請前往安裝位置 C:\Program Files (x86)\nxlog\conf

  4. 複製並貼上以下設定至 nxlog.conf 檔案中。

    以下是設定檔範例。如要瞭解設定選項,請參閱 nxlog 參考手冊

  5. ROOT 設為安裝 NXLog 的資料夾,否則 NXLog 不會啟動。

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    更改下列內容:

    • FILE_PATH:Microsoft SQL 錯誤記錄位置
    • FORWARDER_IP_ADDRESS:Google SecOps 轉送器 IP 位址
    • PORT_NUMBER:高通訊埠編號

  6. services.msc 啟動 NXLog 服務。

    您可以在 C:\Program Files (x86)\nxlog\data\nxlog.log 中找到 NxLog 代理程式記錄。

    如要瞭解 SQL 錯誤記錄檔的設定和選項,請參閱 Microsoft 說明文件中的「SCM Services - Configure SQL Server Error Logs」部分。

設定 Google SecOps 轉送器,以便擷取 Microsoft SQL Server 記錄

  1. 在 Google SecOps 選單中,依序選取「設定」>「轉送器」>「新增轉送器」
  2. 在「轉介器名稱」欄位中,輸入轉介器的專屬名稱。
  3. 按一下「提交」。系統會新增轉送器,並顯示「Add collector configuration」視窗。
  4. 在「收集器名稱」欄位中,輸入收集器的專屬名稱。
  5. 在「Log type」(記錄類型) 欄位中輸入 Microsoft SQL Server
  6. 選取「Syslog」做為「收集器類型」
  7. 設定下列輸入參數:
    • Protocol:收集器用來監聽 syslog 資料的連線通訊協定。
    • Address:收集器所在位置,用於收聽 syslog 資料的目標 IP 位址或主機名稱。
    • Port:收集器所在位置,用於監聽 syslog 資料的目標通訊埠。
  8. 點選「提交」

如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google Security Operations UI 管理轉送器設定」。

如果在建立轉送器時遇到問題,請與 Google 安全作業支援團隊聯絡。

後續步驟

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。