Microsoft SQL Server のログを収集する

このドキュメントでは、Google Security Operations フォワーダーを使用して Microsoft SQL Server ログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル MICROSOFT_SQL が付加されたパーサーに適用されます。

NxLog エージェントを使用して Microsoft SQL Server ログを構成する

1. services.msc に移動し、nxlog サービスを停止します。
2. C:\Program Files (x86)\nxlog\data に移動して configcache.dat を削除します。
3. Windows エージェントの場合は、インストール場所 C:\Program Files (x86)\nxlog\conf に移動します。

4. 次の構成をコピーして nxlog.conf ファイルに貼り付けます。

   これは構成ファイルの例です。構成オプションについては、nxlog リファレンス マニュアルをご覧ください。

5. ROOT を NXLog をインストールしたフォルダに設定します。設定しないと、NXLog が起動しません。

      #define ROOT C:\Program Files\nxlog
      define ROOT C:\Program Files (x86)\nxlog
      Moduledir %ROOT%\modules
      CacheDir %ROOT%\data
      Pidfile %ROOT%\data\nxlog.pid
      SpoolDir %ROOT%\data
      LogFile %ROOT%\data\nxlog.log
      <Extension charconv>
          Module xm_charconv
          AutodetectCharsets UTF-8, UCS-2LE
      </Extension>
      # Load the json extension
      <Extension json>
          Module      xm_json
      </Extension>
      <Input sql-ERlogs>
          Module      im_file
      File "FILE_PATH"
          ReadFromLast False
          SavePos False
      Exec $FileName = file_name();
      Exec $Hostname = hostname_fqdn();
      Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
      </Input>
      # Send the read log lines out to nxlog server
      <Output out-sqlERlogs>
          Module      om_tcp
          Host        FORWARDER_IP_ADDRESS
          Port        PORT_NUMBER
      OutputType LineBased
      </Output>
      # Build the route from nxlog on Windows to nxlog on server
      <Route 1>
          Path        sql-ERlogs => out-sqlERlogs
      </Route>
   

   次のように置き換えます。

   • FILE_PATH: Microsoft SQL エラーログの場所
   • FORWARDER_IP_ADDRESS: Google SecOps フォワーダーの IP アドレス
   • PORT_NUMBER: 高いポート番号

6. services.msc から NXLog サービスを起動します。

   NxLog エージェントのログは C:\Program Files (x86)\nxlog\data\nxlog.log で確認できます。

   SQL エラーログ ファイルの構成とオプションについては、Microsoft のドキュメントの SCM サービス - SQL Server エラーログを構成するセクションをご覧ください。

Microsoft SQL Server のログを取り込むように Google SecOps フォワーダーを構成する

1. Google SecOps メニューで、[設定] > [フォワーダー] > [新しいフォワーダーを追加] を選択します。
2. [Forwarder name] フィールドに、フォワーダーの一意の名前を入力します。
3. [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加] ウィンドウが表示されます。
4. [Collector name] フィールドに、コレクタの一意の名前を入力します。
5. [ログタイプ] フィールドに「Microsoft SQL Server」と入力します。
6. [コレクタ タイプ] として [Syslog] を選択します。
7. 次の入力パラメータを構成します。
   • Protocol: コレクタが syslog データをリッスンするために使用する接続プロトコル。
   • アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名。
   • ポート: コレクタが存在し、Syslog データをリッスンするターゲット ポート。
8. [送信] をクリックします。

Google SecOps フォワーダーの詳細については、Google Security Operations UI を使用してフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

次のステップ

• Google Security Operations へのデータの取り込み

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。