收集 Microsoft SQL Server 記錄

支援的國家/地區:

本文說明如何使用 Google Security Operations 轉送器收集 Microsoft SQL Server 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為結構化 UDM 格式。本文件中的資訊適用於具有 MICROSOFT_SQL 攝入標籤的剖析器。

使用 NxLog 代理程式設定 Microsoft SQL Server 記錄

  1. 前往 services.msc 並停止 nxlog 服務。
  2. 前往 C:\Program Files (x86)\nxlog\data 並刪除 configcache.dat
  3. 如果是 Windows 代理程式,請前往安裝位置 C:\Program Files (x86)\nxlog\conf
  4. 複製下列設定並貼到 nxlog.conf 檔案中。

    這是設定檔範例。如要瞭解設定選項,請參閱 nxlog 參考手冊

  5. ROOT 設為安裝 NXLog 的資料夾,否則 NXLog 無法啟動。

       #define ROOT C:\Program Files\nxlog
       define ROOT C:\Program Files (x86)\nxlog
       Moduledir %ROOT%\modules
       CacheDir %ROOT%\data
       Pidfile %ROOT%\data\nxlog.pid
       SpoolDir %ROOT%\data
       LogFile %ROOT%\data\nxlog.log
       <Extension charconv>
           Module xm_charconv
           AutodetectCharsets UTF-8, UCS-2LE
       </Extension>
       # Load the json extension
       <Extension json>
           Module      xm_json
       </Extension>
       <Input sql-ERlogs>
           Module      im_file
       File "FILE_PATH"
           ReadFromLast False
           SavePos False
       Exec $FileName = file_name();
       Exec $Hostname = hostname_fqdn();
       Exec $raw_event = "NXLog|" + $Hostname + "|MS_SQL_SERVER_ERROR|" + $FileName + "|" + "000|000" + "|" + convert($raw_event, 'UCS-2LE','UTF-8');
       </Input>
       # Send the read log lines out to nxlog server
       <Output out-sqlERlogs>
           Module      om_tcp
           Host        FORWARDER_IP_ADDRESS
           Port        PORT_NUMBER
       OutputType LineBased
       </Output>
       # Build the route from nxlog on Windows to nxlog on server
       <Route 1>
           Path        sql-ERlogs => out-sqlERlogs
       </Route>
    

    更改下列內容:

    • FILE_PATH:Microsoft SQL 錯誤記錄檔位置
    • FORWARDER_IP_ADDRESS:Google SecOps 轉送器 IP 位址
    • PORT_NUMBER:高通訊埠編號
  6. services.msc 啟動 NXLog 服務。

    NxLog 代理程式記錄位於 C:\Program Files (x86)\nxlog\data\nxlog.log

    如要瞭解 SQL 錯誤記錄檔的設定和選項,請參閱 Microsoft 說明文件中的「SCM Services - Configure SQL Server Error Logs」(SCM 服務 - 設定 SQL Server 錯誤記錄) 一節。

設定 Google SecOps 轉送器,擷取 Microsoft SQL Server 記錄

  1. 在 Google SecOps 選單中,依序選取「設定」>「轉送器」>「新增轉送器」
  2. 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
  3. 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
  4. 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
  5. 在「Log type」(記錄類型) 欄位中輸入 Microsoft SQL Server
  6. 選取「Syslog」做為「收集器類型」
  7. 設定下列輸入參數:
    • 通訊協定:收集器用來監聽系統記錄資料的連線通訊協定。
    • 地址:收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
    • 通訊埠:收集器所在並監聽系統記錄檔資料的目標通訊埠。
  8. 按一下「提交」

如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。

後續步驟

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。