收集 Microsoft SQL Server 記錄
本文說明如何使用 Google Security Operations 轉送器收集 Microsoft SQL Server 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為結構化 UDM 格式。本文件中的資訊適用於具有 MICROSOFT_SQL
攝入標籤的剖析器。
使用 NxLog 代理程式設定 Microsoft SQL Server 記錄
- 前往 services.msc 並停止 nxlog 服務。
- 前往
C:\Program Files (x86)\nxlog\data
並刪除configcache.dat
。 - 如果是 Windows 代理程式,請前往安裝位置
C:\Program Files (x86)\nxlog\conf
。 複製下列設定並貼到
nxlog.conf
檔案中。這是設定檔範例。如要瞭解設定選項,請參閱 nxlog 參考手冊。
將
ROOT
設為安裝 NXLog 的資料夾,否則 NXLog 無法啟動。#define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension charconv> Module xm_charconv AutodetectCharsets UTF-8, UCS-2LE </Extension> # Load the json extension <Extension json> Module xm_json </Extension> <Input sql-ERlogs> Module im_file File "FILE_PATH" ReadFromLast False SavePos False Exec $FileName = file_name(); Exec $Hostname = hostname_fqdn(); Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8'); </Input> # Send the read log lines out to nxlog server <Output out-sqlERlogs> Module om_tcp Host FORWARDER_IP_ADDRESS Port PORT_NUMBER OutputType LineBased </Output> # Build the route from nxlog on Windows to nxlog on server <Route 1> Path sql-ERlogs => out-sqlERlogs </Route>
更改下列內容:
- FILE_PATH:Microsoft SQL 錯誤記錄檔位置
- FORWARDER_IP_ADDRESS:Google SecOps 轉送器 IP 位址
- PORT_NUMBER:高通訊埠編號
從
services.msc
啟動 NXLog 服務。NxLog 代理程式記錄位於
C:\Program Files (x86)\nxlog\data\nxlog.log
。如要瞭解 SQL 錯誤記錄檔的設定和選項,請參閱 Microsoft 說明文件中的「SCM Services - Configure SQL Server Error Logs」(SCM 服務 - 設定 SQL Server 錯誤記錄) 一節。
設定 Google SecOps 轉送器,擷取 Microsoft SQL Server 記錄
- 在 Google SecOps 選單中,依序選取「設定」>「轉送器」>「新增轉送器」。
- 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
- 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
- 在「Log type」(記錄類型) 欄位中輸入
Microsoft SQL Server
。 - 選取「Syslog」做為「收集器類型」。
- 設定下列輸入參數:
- 通訊協定:收集器用來監聽系統記錄資料的連線通訊協定。
- 地址:收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:收集器所在並監聽系統記錄檔資料的目標通訊埠。
- 按一下「提交」。
如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。
如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。