Recoger registros de Microsoft SQL Server
En este documento se describe cómo puede recoger los registros de Microsoft SQL Server mediante un reenviador de Google Security Operations.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión MICROSOFT_SQL.
Configurar los registros de Microsoft SQL Server con el agente NxLog
- Ve a services.msc y detén el servicio nxlog.
- Ve a
C:\Program Files (x86)\nxlog\datay eliminaconfigcache.dat. - En el caso del agente de Windows, ve a la ubicación instalada
C:\Program Files (x86)\nxlog\conf. Copia y pega la siguiente configuración en el archivo
nxlog.conf.Este es un archivo de configuración de ejemplo. Consulta el manual de referencia de nxlog sobre las opciones de configuración.
Define
ROOTen la carpeta en la que has instalado NXLog. De lo contrario, NXLog no se iniciará.#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>Haz los cambios siguientes:
- FILE_PATH: la ubicación del registro de errores de Microsoft SQL
- FORWARDER_IP_ADDRESS: la dirección IP del reenviador de Google SecOps
- PORT_NUMBER: un número de puerto alto
Inicia el servicio NXLog desde
services.msc.Los registros del agente NxLog están disponibles en
C:\Program Files (x86)\nxlog\data\nxlog.log.Para obtener información sobre la configuración y las opciones de los archivos de registro de errores de SQL, consulta la sección SCM Services - Configure SQL Server Error Logs (Servicios SCM: configurar registros de errores de SQL Server) de la documentación de Microsoft.
Configurar el reenviador de Google SecOps para ingerir registros de Microsoft SQL Server
- En el menú de Google SecOps, selecciona Configuración > Reenvíos > Añadir nuevo reenvío.
- En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
- Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
- En el campo Nombre del recolector, introduzca un nombre único para el recolector.
- En el campo Log type (Tipo de registro), introduce
Microsoft SQL Server. - Seleccione Syslog como Tipo de recogida.
- Configure los siguientes parámetros de entrada:
- Protocol: el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenviadores de Google SecOps, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations.
Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Siguientes pasos
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.