Microsoft SQL Server-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie die Microsoft SQL Server-Logs mit einem Google Security Operations-Forwarder erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label MICROSOFT_SQL.

Microsoft SQL Server-Logs mit dem NxLog-Agent konfigurieren

1. Rufen Sie services.msc auf und beenden Sie den Dienst nxlog.
2. Gehen Sie zu C:\Program Files (x86)\nxlog\data und löschen Sie configcache.dat.
3. Für den Windows-Agenten rufen Sie den Installationsort C:\Program Files (x86)\nxlog\conf auf.

4. Kopieren Sie die folgende Konfiguration und fügen Sie sie in die Datei nxlog.conf ein.

   Dies ist eine Beispielkonfigurationsdatei. Weitere Informationen zu Konfigurationsoptionen finden Sie im nxlog-Referenzhandbuch.

5. Legen Sie ROOT auf den Ordner fest, in dem Sie NXLog installiert haben. Andernfalls wird NXLog nicht gestartet.

      #define ROOT C:\Program Files\nxlog
      define ROOT C:\Program Files (x86)\nxlog
      Moduledir %ROOT%\modules
      CacheDir %ROOT%\data
      Pidfile %ROOT%\data\nxlog.pid
      SpoolDir %ROOT%\data
      LogFile %ROOT%\data\nxlog.log
      <Extension charconv>
          Module xm_charconv
          AutodetectCharsets UTF-8, UCS-2LE
      </Extension>
      # Load the json extension
      <Extension json>
          Module      xm_json
      </Extension>
      <Input sql-ERlogs>
          Module      im_file
      File "FILE_PATH"
          ReadFromLast False
          SavePos False
      Exec $FileName = file_name();
      Exec $Hostname = hostname_fqdn();
      Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
      </Input>
      # Send the read log lines out to nxlog server
      <Output out-sqlERlogs>
          Module      om_tcp
          Host        FORWARDER_IP_ADDRESS
          Port        PORT_NUMBER
      OutputType LineBased
      </Output>
      # Build the route from nxlog on Windows to nxlog on server
      <Route 1>
          Path        sql-ERlogs => out-sqlERlogs
      </Route>
   

   Ersetzen Sie Folgendes:

   • FILE_PATH: der Speicherort des Microsoft SQL-Fehlerlogs
   • FORWARDER_IP_ADDRESS: die IP-Adresse des Google SecOps-Forwarders
   • PORT_NUMBER: eine hohe Portnummer

6. Starten Sie den NXLog-Dienst über services.msc.

   NxLog-Agent-Logs sind unter C:\Program Files (x86)\nxlog\data\nxlog.log verfügbar.

   Informationen zur Konfiguration und zu Optionen für SQL-Fehlerlogdateien finden Sie in der Microsoft-Dokumentation im Abschnitt SCM Services – Configure SQL Server Error Logs.

Google SecOps-Forwarder für die Aufnahme von Microsoft SQL Server-Logs konfigurieren

1. Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
2. Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
3. Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
4. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
5. Geben Sie im Feld Logtyp Microsoft SQL Server ein.
6. Wählen Sie Syslog als Collector-Typ aus.
7. Konfigurieren Sie die folgenden Eingabeparameter:
   • Protokoll: Das Verbindungsprotokoll, das der Collector verwendet, um Syslog-Daten zu empfangen.
   • Adresse: Die Ziel-IP-Adresse oder der Hostname, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
   • Port: Der Zielport, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
8. Klicken Sie auf Senden.

Weitere Informationen zu den Google SecOps-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Nächste Schritte

• Datenaufnahme in Google Security Operations

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten