Microsoft SharePoint verwendet SQL Server Management Studio (SSMS) zum Verwalten der SharePoint -SQL-Datenbanken. Zum Erfassen von Prüfereignisdaten müssen Sie eine Datenbankansicht auf Ihrem Microsoft SharePoint -Server erstellen, auf die IBM
QRadarzugreifen kann.
Vorbereitende Schritte
Verwenden Sie keinen Punkt (.) im Namen Ihrer Ansicht oder in einem der Tabellennamen. Wenn Sie einen Punkt in Ihrem Sicht-oder Tabellennamen verwenden, kann JDBC nicht auf die Daten in der Sicht zugreifen und der Zugriff wird verweigert. Alles nach einem (.) wird als untergeordnetes Objekt behandelt.
Vorgehensweise
- Melden Sie sich bei dem System an, das Ihre Microsoft SharePoint SQL-Datenbank hostet.
- Wählen Sie im Menü Start die Option Ausführenaus.
- Geben Sie den folgenden Befehl ein:
- Klicken Sie auf OK.
Microsoft SQL Server 2008 zeigt das Fenster Verbindung zum Server herstellen an.
- Melden Sie sich an Ihrer Microsoft SharePoint -Datenbank an.
- Klicken Sie auf Verbinden.
- Klicken Sie im Object Explorer für Ihre SharePoint -Datenbank auf .
- Klicken Sie im Navigationsmenü auf Neue Abfrage.
- Geben Sie im Teilfenster Abfrage die folgende Transact-SQL-Anweisung ein, um die Datenbankansicht AuditEvent zu erstellen:
create view dbo.AuditEvent as select a.siteID
,a.ItemId ,a.ItemType ,u.tp_Title as "User" ,a.MachineName ,a.MachineIp ,a.DocLocation ,a.LocationType ,a.Occurred as "EventTime" ,a.Event as "EventID" ,a.EventName ,a.EventSource ,a.SourceName ,a.EventData
from WSS_Content.dbo.AuditData a, WSS_Content.dbo.UserInfo u where a.UserId = u.tp_ID and a.SiteId = u.tp_SiteID;
- Klicken Sie im Teilfenster Abfrage mit der rechten Maustaste und wählen Sie Ausführenaus.
Wenn die Ansicht erstellt wird, wird die folgende Nachricht im Ergebnisfenster angezeigt:
Command(s) completed successfully.
Die Ansicht dbo.AuditEvent wird erstellt. Sie können jetzt die Protokollquelle in QRadar konfigurieren, um die Ansicht nach Prüfereignissen abzufragen.