Opciones de configuración de origen de registro de Microsoft SQL Server

Utilice la información de referencia para configurar el plug-in WinCollect para Microsoft SQL Server.

Registros de errores de Microsoft SQL Server

El registro de errores es un archivo de texto estándar que contiene información y mensajes de error de Microsoft SQL Server . WinCollect supervisa el registro de errores para ver si hay sucesos nuevos y reenvía el suceso a IBM® Security QRadar®. El registro de errores proporciona información significativa para ayudarle a resolver problemas o alertarle de problemas potenciales o existentes. La salida del registro de errores incluye la hora y la fecha en que se registró el mensaje, el origen del mensaje y la descripción del mensaje. Si se produce un error, el registro contiene el número de mensaje de error y una descripción. Microsoft SQL Servers conserva copias de seguridad de los últimos seis archivos de registro de errores.

WinCollect puede recopilar sucesos de registro de errores de Microsoft SQL Server. Para recopilar sucesos de auditoría y autenticación de Microsoft SQL Server , configure el DSM de Microsoft SQL Server . Para obtener más información, consulte la publicación IBM Security QRadar DSM Configuration Guide.

Los agentes de WinCollect dan soporte a la recopilación local y al sondeo remoto para instalaciones de Microsoft SQL Server . Para sondear de forma remota los sucesos de Microsoft SQL Server , debe proporcionar credenciales de administrador o credenciales de administrador de dominio. Si la política de red restringe el uso de credenciales de administrador, puede instalar un agente de WinCollect en el mismo host que Microsoft SQL Server. Las instalaciones locales de WinCollect no requieren credenciales especiales para reenviar sucesos a QRadar.

Los registros de sucesos de Microsoft SQL Server supervisados por WinCollect se definen mediante la vía de acceso de directorio que especifique en el origen de registro de WinCollect SQL. En la tabla siguiente se listan las vías de acceso de directorio predeterminadas para el campo Directorio de registro raíz en el origen de registro.

Tabla 1. Vías de acceso de directorio de registro raíz predeterminadas de sucesos de Microsoft SQL
Versión de Microsoft SQL Tipo de recopilación Directorio de registro raíz
2012 Local C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2012 Remoto \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2014 Local C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2014 Remoto \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2016 Local C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2016 Remoto \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2017 Local C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2017 Remoto \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2019 Local C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
2019 Remoto \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG

Los archivos de registro que no coinciden con el formato de registro de sucesos SQL no se analizan ni se reenvían a QRadar.

Versiones soportadas de Microsoft SQL Server

El plug-in WinCollect para Microsoft SQL Server da soporte a las siguientes versiones de software de Microsoft SQL:

  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2014
  • Microsoft SQL Server 2016
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2019

En la tabla siguiente se describen los parámetros de protocolo de Microsoft SQL Server.

Tabla 2. Microsoft SQL Server
Parámetro Descripción
Tipo de origen de registro Microsoft SQL
Configuración de protocolo WinCollect Microsoft SQL
Directorio raíz
Microsoft SQL 2012
  • Para una vía de acceso de directorio local, utilice C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log
  • Para una vía de acceso de directorio remoto, utilice \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log
Microsoft SQL 2014
  • Para una vía de acceso de directorio local, utilice C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log
  • Para una vía de acceso de directorio remoto, utilice \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log
Microsoft SQL 2016
  • Para una vía de acceso de directorio local, utilice C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
  • Para una vía de acceso de directorio remoto, utilice \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Log
Microsoft SQL 2017
  • Para una vía de acceso de directorio local, utilice C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
  • Para una vía de acceso de directorio remoto, utilice \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
Microsoft SQL 2019
  • Para una vía de acceso de directorio local, utilice C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
  • Para una vía de acceso de directorio remoto, utilice \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
Política de supervisor de archivos

La opción Basado en notificaciones (local) utiliza las notificaciones del sistema de archivos de Windows para detectar cambios en el registro de sucesos.

La opción Basado en sondeo (remoto) supervisa los cambios en los archivos y directorios remotos. El agente sondea el registro de sucesos remoto y compara el archivo con el último intervalo de sondeo. Si el registro de sucesos contiene sucesos nuevos, se recupera el registro de sucesos.