Coletar registros do Microsoft SQL Server

Compatível com:

Neste documento, descrevemos como coletar os registros do Microsoft SQL Server usando um encaminhador do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão MICROSOFT_SQL.

Configurar os registros do Microsoft SQL Server usando o agente NxLog

  1. Acesse services.msc e interrompa o serviço nxlog.
  2. Acesse C:\Program Files (x86)\nxlog\data e exclua configcache.dat.
  3. Para o agente do Windows, acesse o local de instalação C:\Program Files (x86)\nxlog\conf.

  4. Copie e cole a seguinte configuração no arquivo nxlog.conf.

    Este é um arquivo de configuração de amostra. Consulte o manual de referência do nxlog (em inglês) sobre opções de configuração.

  5. Defina ROOT como a pasta em que você instalou o NXLog. Caso contrário, ele não será iniciado.

       #define ROOT C:\Program Files\nxlog
   define ROOT C:\Program Files (x86)\nxlog
   Moduledir %ROOT%\modules
   CacheDir %ROOT%\data
   Pidfile %ROOT%\data\nxlog.pid
   SpoolDir %ROOT%\data
   LogFile %ROOT%\data\nxlog.log
   <Extension charconv>
       Module xm_charconv
       AutodetectCharsets UTF-8, UCS-2LE
   </Extension>
   # Load the json extension
   <Extension json>
       Module      xm_json
   </Extension>
   <Input sql-ERlogs>
       Module      im_file
   File "FILE_PATH"
       ReadFromLast False
       SavePos False
   Exec $FileName = file_name();
   Exec $Hostname = hostname_fqdn();
   Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
   </Input>
   # Send the read log lines out to nxlog server
   <Output out-sqlERlogs>
       Module      om_tcp
       Host        FORWARDER_IP_ADDRESS
       Port        PORT_NUMBER
   OutputType LineBased
   </Output>
   # Build the route from nxlog on Windows to nxlog on server
   <Route 1>
       Path        sql-ERlogs => out-sqlERlogs
   </Route>

    Substitua:

    • FILE_PATH: o local do registro de erros do Microsoft SQL
    • FORWARDER_IP_ADDRESS: o endereço IP do encaminhador do Google SecOps
    • PORT_NUMBER: um número de porta alto

  6. Inicie o serviço NXLog em services.msc.

    Os registros do agente NxLog estão disponíveis em C:\Program Files (x86)\nxlog\data\nxlog.log.

    Para informações sobre configuração e opções de arquivos de registro de erros do SQL, consulte a seção Serviços do SCM: configurar registros de erros do SQL Server na documentação da Microsoft.

Configurar o encaminhador do Google SecOps para ingerir registros do Microsoft SQL Server

  1. No menu do Google SecOps, selecione Configurações > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  3. Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  4. No campo Nome do coletor, insira um nome exclusivo para ele.
  5. No campo Tipo de registro, insira Microsoft SQL Server.
  6. Selecione Syslog como o Tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: o protocolo de conexão que o coletor usa para ouvir dados do syslog.
    • Endereço: o endereço IP ou nome do host de destino em que o coletor reside e escuta dados de syslog.
    • Porta: a porta de destino em que o coletor reside e detecta dados do syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.