Konfigurationsoptionen für Microsoft SQL Server -Protokollquellen

Verwenden Sie die Referenzinformationen, um das WinCollect -Plug-in für Microsoft SQL Serverzu konfigurieren.

Fehlerprotokolle für Microsoft SQL Server

Das Fehlerprotokoll ist eine Standardtextdatei mit Microsoft SQL Server -Informationen und -Fehlernachrichten. WinCollect überwacht das Fehlerprotokoll auf neue Ereignisse und leitet das Ereignis an IBM® Security QRadar®weiter. Das Fehlerprotokoll enthält aussagekräftige Informationen, die Sie bei der Behebung von Problemen oder bei Alerts zu potenziellen oder vorhandenen Problemen unterstützen. Die Ausgabe des Fehlerprotokolls enthält die Uhrzeit und das Datum der Protokollierung der Nachricht, die Quelle der Nachricht und die Beschreibung der Nachricht. Wenn ein Fehler auftritt, enthält das Protokoll die Fehlernachrichtennummer und eine Beschreibung. Microsoft SQL Server bewahrt Sicherungen der letzten sechs Fehlerprotokolldateien auf.

WinCollect kann Fehlerprotokollereignisse von Microsoft SQL Server erfassen. Um Microsoft SQL Server -Prüfungs-und Authentifizierungsereignisse zu erfassen, konfigurieren Sie das DSM Microsoft SQL Server . Weitere Informationen finden Sie im Handbuch IBM Security QRadar DSM Configuration Guide.

WinCollect -Agenten unterstützen die lokale Erfassung und Fernabfrage für Microsoft SQL Server -Installationen. Zum Abfragen von Microsoft SQL Server -Ereignissen über Fernzugriff müssen Sie Administratorberechtigungsnachweise oder Domänenadministratorberechtigungsnachweise angeben. Wenn Ihre Netzrichtlinie die Verwendung von Administratorberechtigungsnachweisen beschränkt, können Sie einen WinCollect -Agenten auf demselben Host wie Ihren Microsoft SQL Serverinstallieren. Für lokale Installationen von WinCollect sind keine speziellen Berechtigungsnachweise erforderlich, um Ereignisse an QRadarweiterzuleiten.

Die Microsoft SQL Server -Ereignisprotokolle, die von WinCollect überwacht werden, werden durch den Verzeichnispfad definiert, den Sie in Ihrer WinCollect SQL-Protokollquelle angeben. In der folgenden Tabelle sind die Standardverzeichnispfade für das Feld Stammprotokollverzeichnis in Ihrer Protokollquelle aufgelistet.

Tabelle 1 Standardpfade des Stammprotokollverzeichnisses Microsoft SQL-Ereignisse
Microsoft SQL-Version	Objektgruppentyp	Stammverzeichnis für Protokolle
2012	Lokal	C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2012	Fern	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2014	Lokal	C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2014	Fern	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2016	Lokal	C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2016	Fern	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2017	Lokal	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2017	Fern	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2019	Lokal	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
2019	Fern	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG

Protokolldateien, die dem SQL-Ereignisprotokollformat nicht entsprechen, werden nicht geparst oder an QRadarweitergeleitet.

Unterstützte Versionen von Microsoft SQL Server

Das WinCollect -Plug-in für Microsoft SQL Server unterstützt die folgenden Microsoft SQL-Softwareversionen:

Microsoft SQL Server 2012
Microsoft SQL Server 2014
Microsoft SQL Server 2016
Microsoft SQL Server 2017
Microsoft SQL Server 2019

In der folgenden Tabelle werden die Protokollparameter für Microsoft SQL Server beschrieben.

Tabelle 2. Microsoft SQL Server -Protokollparameter
Parameter	Beschreibung
Protokollquellentyp	Microsoft SQL
Protokollkonfiguration	WinCollect Microsoft SQL
Stammverzeichnis	Microsoft SQL 2012 Verwenden Sie für einen lokalen Verzeichnispfad C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log . Verwenden Sie für einen fernen Verzeichnispfad \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log . Microsoft SQL 2014 Verwenden Sie für einen lokalen Verzeichnispfad C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log . Verwenden Sie für einen fernen Verzeichnispfad \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log . Microsoft SQL 2016 Verwenden Sie für einen lokalen Verzeichnispfad C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG . Verwenden Sie für einen fernen Verzeichnispfad \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Log . Microsoft SQL 2017 Verwenden Sie für einen lokalen Verzeichnispfad C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG . Verwenden Sie für einen fernen Verzeichnispfad \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG . Microsoft SQL 2019 Verwenden Sie für einen lokalen Verzeichnispfad C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG . Verwenden Sie für einen fernen Verzeichnispfad \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG .
Dateiüberwachungsrichtlinie	Die Option Benachrichtigungsbasiert (lokal) verwendet die Windows-Dateisystembenachrichtigungen, um Änderungen an Ihrem Ereignisprotokoll zu erkennen. Die Option Polling-basiert (fern) überwacht Änderungen an fernen Dateien und Verzeichnissen. Der Agent fragt das ferne Ereignisprotokoll ab und vergleicht die Datei mit dem letzten Abfrageintervall. Enthält das Ereignisprotokoll neue Ereignisse, wird das Ereignisprotokoll abgerufen.