Microsoft SQL Server-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie die Microsoft SQL Server-Logs mit einem Google Security Operations-Forwarder erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label MICROSOFT_SQL.
Microsoft SQL Server-Logs mit dem NxLog-Agent konfigurieren
- Rufen Sie services.msc auf und beenden Sie den Dienst nxlog.
- Gehen Sie zu
C:\Program Files (x86)\nxlog\dataund löschen Sieconfigcache.dat. - Für den Windows-Agenten rufen Sie den Installationsort
C:\Program Files (x86)\nxlog\confauf. Kopieren Sie die folgende Konfiguration und fügen Sie sie in die Datei
nxlog.confein.Dies ist eine Beispielkonfigurationsdatei. Weitere Informationen zu Konfigurationsoptionen finden Sie im nxlog-Referenzhandbuch.
Legen Sie
ROOTauf den Ordner fest, in dem Sie NXLog installiert haben. Andernfalls wird NXLog nicht gestartet.#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>Ersetzen Sie Folgendes:
- FILE_PATH: der Speicherort des Microsoft SQL-Fehlerlogs
- FORWARDER_IP_ADDRESS: die IP-Adresse des Google SecOps-Forwarders
- PORT_NUMBER: eine hohe Portnummer
Starten Sie den NXLog-Dienst über
services.msc.NxLog-Agent-Logs sind unter
C:\Program Files (x86)\nxlog\data\nxlog.logverfügbar.Informationen zur Konfiguration und zu Optionen für SQL-Fehlerlogdateien finden Sie in der Microsoft-Dokumentation im Abschnitt SCM Services – Configure SQL Server Error Logs.
Google SecOps-Forwarder für die Aufnahme von Microsoft SQL Server-Logs konfigurieren
- Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
- Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
- Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Geben Sie im Feld Logtyp
Microsoft SQL Serverein. - Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Das Verbindungsprotokoll, das der Collector verwendet, um Syslog-Daten zu empfangen.
- Adresse: Die Ziel-IP-Adresse oder der Hostname, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Der Zielport, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google SecOps-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Nächste Schritte
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten