Microsoft SQL Server mensaje de suceso de ejemplo
Utilice este mensaje de suceso de ejemplo para verificar una integración satisfactoria con IBM QRadar.
Importante: Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.
Microsoft SQL Server mensaje de ejemplo cuando se utiliza el protocolo Syslog
El siguiente mensaje de suceso de ejemplo muestra un suceso de inicio de sesión de Microsoft SQL Server .
event_time: "2019-02-11 13:17:32.0931454" sequence_number: "1" action_id: "DR" succeeded: "true" permission_bitmask: "00000000000000000000000000000000" is_column_permission: "false" session_id: "93" server_principal_id: "261" database_principal_id: "1" target_server_principal_id: "0" target_database_principal_id: "0" object_id: "280" class_type: "WL" session_server_principal_name: "test\testUser" server_principal_name: "test\testUser" server_principal_sid: "010500000000000515000000400A7B7284B93A98D9627B492A050000" database_principal_name: "dbo" target_server_principal_name: "" target_server_principal_sid: "null" target_database_principal_name: "" server_instance_name: "testInstance" database_name: "master" schema_name: "" object_name: "test\9testSIEMSQLread" statement: "DROP LOGIN [test\9testSIEMSQLread]" additional_information: "" file_name: "L:\Audit\Audit-20190201-185847_AAD06900-8725-43A2-A949-9F15D560395A_0_131938307626970000.sqlaudit" audit_file_offset: "35328" user_defined_event_id: "0" user_defined_information: "" audit_schema_version: "1" sequence_group_id: "8EDC9010D8D0294FB639D026C4CB2241" transaction_id: "1321291"| QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| ID de suceso | action_id + class_type |
| Categoría | Cuando el DSM de Microsoft SQL Server analiza este tipo de suceso, el valor de Categoría en QRadar siempre es MicrosoftSQL. |
| Nombre de usuario | session_server_principal_name |
| Hora de origen de registro | event_time |