Microsoft SharePoint utiliza SQL Server Management Studio (SSMS) para gestionar las bases de datos SQL de SharePoint . Para recopilar datos de sucesos de auditoría, debe crear una vista de base de datos en el servidor de Microsoft SharePoint que sea accesible para IBM
QRadar.
Antes de empezar
No utilice un punto (.) en el nombre de la vista, ni en ninguno de los nombres de tabla. Si utiliza un punto en la vista o nombre de tabla, JDBC no puede acceder a los datos dentro de la vista y se deniega el acceso. Cualquier cosa después de un (.) se trata como un objeto hijo.
Procedimiento
- Inicie sesión en el sistema que aloja la base de datos SQL de Microsoft SharePoint .
- En el menú Inicio , seleccione Ejecutar.
- Especifique el mandato siguiente:
- Pulse Aceptar.
Microsoft SQL Server 2008 muestra la ventana Conectar a servidor .
- Inicie sesión en la base de datos de Microsoft SharePoint .
- Pulse Conectar.
- Desde el Explorador de objetos para la base de datos de SharePoint , pulse .
- En el menú de navegación, pulse Nueva consulta.
- En el panel Consulta , escriba la siguiente sentencia Transact-SQL para crear la vista de base de datos AuditEvent :
create view dbo.AuditEvent as select a.siteID
,a.ItemId ,a.ItemType ,u.tp_Title as "User" ,a.MachineName ,a.MachineIp ,a.DocLocation ,a.LocationType ,a.Occurred as "EventTime" ,a.Event as "EventID" ,a.EventName ,a.EventSource ,a.SourceName ,a.EventData
from WSS_Content.dbo.AuditData a, WSS_Content.dbo.UserInfo u where a.UserId = u.tp_ID and a.SiteId = u.tp_SiteID;
- En el panel Consulta , pulse con el botón derecho del ratón y seleccione Ejecutar.
Si se crea la vista, se muestra el siguiente mensaje en el panel de resultados:
Command(s) completed successfully.
Se crea la vista dbo.AuditEvent . Ahora está preparado para configurar el origen de registro en QRadar para sondear la vista en busca de sucesos de auditoría.