Mengumpulkan log Microsoft SQL Server

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Microsoft SQL Server menggunakan pengirim Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan MICROSOFT_SQL.

Mengonfigurasi log Microsoft SQL Server menggunakan agen NxLog

  1. Buka services.msc dan hentikan layanan nxlog.
  2. Buka C:\Program Files (x86)\nxlog\data, lalu hapus configcache.dat.
  3. Untuk agen Windows, buka lokasi yang diinstal C:\Program Files (x86)\nxlog\conf.

  4. Salin dan tempel konfigurasi berikut ke dalam file nxlog.conf.

    Ini adalah contoh file konfigurasi. Lihat manual referensi nxlog tentang opsi konfigurasi.

  5. Setel ROOT ke folder tempat Anda menginstal NXLog, jika tidak, NXLog tidak akan dimulai.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Ganti kode berikut:

    • FILE_PATH: lokasi log error Microsoft SQL
    • FORWARDER_IP_ADDRESS: alamat IP penerusan Google SecOps
    • PORT_NUMBER: nomor port tinggi

  6. Mulai layanan NXLog dari services.msc.

    Log agen NxLog tersedia di C:\Program Files (x86)\nxlog\data\nxlog.log.

    Untuk mengetahui informasi tentang konfigurasi dan opsi untuk file log error SQL, lihat bagian SCM Services - Configure SQL Server Error Logs di dokumentasi Microsoft.

Mengonfigurasi penerus Google SecOps untuk menyerap log Microsoft SQL Server

  1. Di menu Google SecOps, pilih Settings > Forwarders > Add new forwarder.
  2. Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
  3. Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
  4. Di kolom Nama pengumpul, masukkan nama unik untuk pengumpul.
  5. Di kolom Jenis log, masukkan Microsoft SQL Server.
  6. Pilih Syslog sebagai Collector type.
  7. Konfigurasikan parameter input berikut:
    • Protokol: protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
    • Alamat: alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
    • Port: port target tempat pengumpul berada dan memproses data syslog.
  8. Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerus Google SecOps, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Langkah berikutnya

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.