Recoger registros de Microsoft SQL Server

Disponible en:

En este documento se describe cómo puede recoger los registros de Microsoft SQL Server mediante un reenviador de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión MICROSOFT_SQL.

Configurar los registros de Microsoft SQL Server con el agente NxLog

  1. Ve a services.msc y detén el servicio nxlog.
  2. Ve a C:\Program Files (x86)\nxlog\data y elimina configcache.dat.
  3. En el caso del agente de Windows, ve a la ubicación instalada C:\Program Files (x86)\nxlog\conf.

  4. Copia y pega la siguiente configuración en el archivo nxlog.conf.

    Este es un archivo de configuración de ejemplo. Consulta el manual de referencia de nxlog sobre las opciones de configuración.

  5. Define ROOT en la carpeta en la que has instalado NXLog. De lo contrario, NXLog no se iniciará.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Haz los cambios siguientes:

    • FILE_PATH: la ubicación del registro de errores de Microsoft SQL
    • FORWARDER_IP_ADDRESS: la dirección IP del reenviador de Google SecOps
    • PORT_NUMBER: un número de puerto alto

  6. Inicia el servicio NXLog desde services.msc.

    Los registros del agente NxLog están disponibles en C:\Program Files (x86)\nxlog\data\nxlog.log.

    Para obtener información sobre la configuración y las opciones de los archivos de registro de errores de SQL, consulta la sección SCM Services - Configure SQL Server Error Logs (Servicios SCM: configurar registros de errores de SQL Server) de la documentación de Microsoft.

Configurar el reenviador de Google SecOps para ingerir registros de Microsoft SQL Server

  1. En el menú de Google SecOps, selecciona Configuración > Reenvíos > Añadir nuevo reenvío.
  2. En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
  3. Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
  4. En el campo Nombre del recolector, introduzca un nombre único para el recolector.
  5. En el campo Log type (Tipo de registro), introduce Microsoft SQL Server.
  6. Seleccione Syslog como Tipo de recogida.
  7. Configure los siguientes parámetros de entrada:
    • Protocol: el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
    • Dirección: la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
    • Puerto: el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  8. Haz clic en Enviar.

Para obtener más información sobre los reenviadores de Google SecOps, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations.

Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.

Siguientes pasos

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.