Collecter les journaux Microsoft SQL Server

Compatible avec :

Ce document explique comment collecter les journaux Microsoft SQL Server à l'aide d'un transmetteur Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion MICROSOFT_SQL.

Configurer les journaux Microsoft SQL Server à l'aide de l'agent NxLog

  1. Accédez à services.msc et arrêtez le service nxlog.
  2. Accédez à C:\Program Files (x86)\nxlog\data et supprimez configcache.dat.
  3. Pour l'agent Windows, accédez à l'emplacement d'installation C:\Program Files (x86)\nxlog\conf.

  4. Copiez et collez la configuration suivante dans le fichier nxlog.conf.

    Il s'agit d'un exemple de fichier de configuration. Consultez le manuel de référence nxlog pour en savoir plus sur les options de configuration.

  5. Définissez ROOT sur le dossier dans lequel vous avez installé NXLog. Sinon, NXLog ne démarrera pas.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Remplacez les éléments suivants :

    • FILE_PATH : emplacement du journal d'erreurs Microsoft SQL
    • FORWARDER_IP_ADDRESS : adresse IP du redirecteur Google SecOps
    • PORT_NUMBER : un numéro de port élevé

  6. Démarrez le service NXLog depuis services.msc.

    Les journaux de l'agent NxLog sont disponibles à l'adresse C:\Program Files (x86)\nxlog\data\nxlog.log.

    Pour en savoir plus sur la configuration et les options des fichiers journaux d'erreurs SQL, consultez la section Services SCM : configurer les journaux d'erreurs SQL Server dans la documentation Microsoft.

Configurer le redirecteur Google SecOps pour ingérer les journaux Microsoft SQL Server

  1. Dans le menu Google SecOps, sélectionnez Settings> Forwarders> Add new forwarder (Paramètres > Relais > Ajouter un relais).
  2. Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
  3. Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
  4. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  5. Dans le champ Type de journal, saisissez Microsoft SQL Server.
  6. Sélectionnez Syslog comme type de collecteur.
  7. Configurez les paramètres d'entrée suivants :
    • Protocole : protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Adresse : adresse IP ou nom d'hôte cible où réside le collecteur et où il écoute les données syslog.
    • Port : port cible sur lequel le collecteur réside et écoute les données syslog.
  8. Cliquez sur Envoyer.

Pour en savoir plus sur les répartiteurs Google SecOps, consultez Gérer les configurations des répartiteurs dans l'interface utilisateur Google Security Operations.

Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.