Raccogliere i log di Microsoft SQL Server

Supportato in:

Questo documento descrive come raccogliere i log di Microsoft SQL Server utilizzando un forwarder Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione MICROSOFT_SQL.

Configura i log di Microsoft SQL Server utilizzando l'agente NxLog

  1. Vai a services.msc e interrompi il servizio nxlog.
  2. Vai a C:\Program Files (x86)\nxlog\data ed elimina configcache.dat.
  3. Per l'agente Windows, vai alla posizione di installazione C:\Program Files (x86)\nxlog\conf.

  4. Copia e incolla la seguente configurazione nel file nxlog.conf.

    Questo è un file di configurazione di esempio. Consulta il manuale di riferimento di nxlog sulle opzioni di configurazione.

  5. Imposta ROOT sulla cartella in cui hai installato NXLog, altrimenti NXLog non verrà avviato.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Sostituisci quanto segue:

    • FILE_PATH: la posizione del log degli errori di Microsoft SQL
    • FORWARDER_IP_ADDRESS: l'indirizzo IP del forwarder Google SecOps
    • PORT_NUMBER: un numero di porta alto

  6. Avvia il servizio NXLog da services.msc.

    I log dell'agente NxLog sono disponibili all'indirizzo C:\Program Files (x86)\nxlog\data\nxlog.log.

    Per informazioni sulla configurazione e sulle opzioni per i file di log degli errori di SQL, consulta la sezione SCM Services - Configure SQL Server Error Logs nella documentazione Microsoft.

Configura il forwarder Google SecOps per l'importazione dei log di Microsoft SQL Server

  1. Nel menu Google SecOps, seleziona Impostazioni > Forwarder > Aggiungi nuovo forwarder.
  2. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  3. Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  4. Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
  5. Nel campo Tipo di log, inserisci Microsoft SQL Server.
  6. Seleziona Syslog come Tipo di raccoglitore.
  7. Configura i seguenti parametri di input:
    • Protocollo: il protocollo di connessione utilizzato dal raccoglitore per ascoltare i dati syslog.
    • Indirizzo: l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
    • Porta: la porta di destinazione in cui risiede il raccoglitore e rimane in ascolto dei dati syslog.
  8. Fai clic su Invia.

Per saperne di più sui forwarder Google SecOps, consulta Gestire le configurazioni dei forwarder tramite la UI di Google Security Operations.

Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.