Recolha registos do Microsoft SQL Server

Compatível com:

Este documento descreve como pode recolher os registos do Microsoft SQL Server através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento MICROSOFT_SQL.

Configure os registos do Microsoft SQL Server através do agente NxLog

  1. Aceda a services.msc e pare o serviço nxlog.
  2. Aceda a C:\Program Files (x86)\nxlog\data e elimine configcache.dat.
  3. Para o agente do Windows, aceda à localização instalada C:\Program Files (x86)\nxlog\conf.

  4. Copie e cole a seguinte configuração no ficheiro nxlog.conf.

    Este é um ficheiro de configuração de exemplo. Consulte o manual de referência do nxlog acerca das opções de configuração.

  5. Defina ROOT para a pasta na qual instalou o NXLog. Caso contrário, o NXLog não é iniciado.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Substitua o seguinte:

    • FILE_PATH: a localização do registo de erros do Microsoft SQL
    • FORWARDER_IP_ADDRESS: o endereço IP do encaminhador do Google SecOps
    • PORT_NUMBER: um número de porta elevado

  6. Inicie o serviço NXLog a partir de services.msc.

    Os registos do agente NxLog estão disponíveis em C:\Program Files (x86)\nxlog\data\nxlog.log.

    Para obter informações sobre a configuração e as opções dos ficheiros de registo de erros do SQL, consulte a secção SCM Services - Configure SQL Server Error Logs na documentação da Microsoft.

Configure o encaminhador do Google SecOps para carregar registos do Microsoft SQL Server

  1. No menu do Google SecOps, selecione Definições > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
  3. Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
  4. No campo Nome do coletor, introduza um nome exclusivo para o coletor.
  5. No campo Tipo de registo, introduza Microsoft SQL Server.
  6. Selecione Syslog como o tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: o protocolo de ligação que o coletor usa para ouvir dados syslog.
    • Endereço: o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados do syslog.
    • Porta: a porta de destino onde o coletor reside e ouve dados de syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.

O que se segue?

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.