Options de configuration de la source de journal Microsoft SQL Server

Utilisez les informations de référence pour configurer le plug-in WinCollect pour Microsoft SQL Server.

Journaux des erreurs de Microsoft SQL Server

Le journal des erreurs est un fichier texte standard qui contient des informations et des messages d'erreur Microsoft SQL Server . WinCollect surveille le journal des erreurs à la recherche de nouveaux événements et transmet l'événement à IBM® Security QRadar®. Le journal des erreurs fournit des informations significatives pour vous aider à identifier et résoudre les problèmes ou vous alerter des problèmes potentiels ou existants. La sortie du journal des erreurs inclut l'heure et la date auxquelles le message a été consigné ainsi que la source et la description du message. Si une erreur se produit, le journal contient le numéro de message d'erreur et une description. Les serveurs Microsoft SQL Server conservent les sauvegardes des six derniers fichiers journaux d'erreurs.

WinCollect peut collecter des événements du journal des erreurs du serveur Microsoft SQL. Pour collecter des événements d'audit et d'authentification Microsoft SQL Server , configurez le gestionnaire de services de données Microsoft SQL Server . Pour plus d'informations, voir le manuel IBM Security QRadar DSM-Guide de configuration.

Les agents WinCollect prennent en charge la collecte locale et l'interrogation à distance pour les installations Microsoft SQL Server . Pour interroger à distance les événements Microsoft SQL Server , vous devez fournir des données d'identification d'administrateur ou des données d'identification d'administrateur de domaine. Si votre politique réseau restreint l'utilisation des données d'identification de l'administrateur, vous pouvez installer un agent WinCollect sur le même hôte que votre Microsoft SQL Server. Les installations locales de WinCollect ne nécessitent pas de données d'identification spéciales pour transmettre des événements à QRadar.

Les journaux des événements Microsoft SQL Server surveillés par WinCollect sont définis par le chemin de répertoire que vous spécifiez dans votre source de journal SQL WinCollect . Le tableau suivant répertorie les chemins de répertoire par défaut pour la zone Répertoire de journaux racine de votre source de journal.

Tableau 1. Chemins d'accès aux répertoires de journaux racine par défaut pour les événements Microsoft SQL
Version Microsoft SQL	Type de collection	Répertoire de journaux racine
2012	Local	C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2012	Distant	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2014	Local	C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2014	Distant	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2016	Local	C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2016	Distant	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2017	Local	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2017	Distant	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2019	Local	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
2019	Distant	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG

Les fichiers journaux qui ne correspondent pas au format du journal des événements SQL ne sont pas analysés ni transmis à QRadar.

Versions prises en charge de Microsoft SQL Server

Le plug-in WinCollect pour Microsoft SQL Server prend en charge les versions suivantes du logiciel Microsoft SQL:

Microsoft SQL Server 2012
Microsoft SQL Server 2014
Microsoft SQL Server 2016
Microsoft SQL Server 2017
Microsoft SQL Server 2019

Le tableau suivant décrit les paramètres du protocole Microsoft SQL Server.

Tableau 2. Microsoft SQL Server
Paramètre	Descriptif
Type de source de journal	Microsoft SQL
Configuration du protocole	WinCollect Microsoft SQL
Répertoire racine	Microsoft SQL 2012 Pour un chemin de répertoire local, utilisez C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log Pour un chemin de répertoire distant, utilisez \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log Microsoft SQL 2014 Pour un chemin de répertoire local, utilisez C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log Pour un chemin de répertoire distant, utilisez \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log Microsoft SQL 2016 Pour un chemin de répertoire local, utilisez C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG Pour un chemin de répertoire distant, utilisez \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Log Microsoft SQL 2017 Pour un chemin de répertoire local, utilisez C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG Pour un chemin de répertoire distant, utilisez \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG Microsoft SQL 2019 Pour un chemin de répertoire local, utilisez C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG Pour un chemin de répertoire distant, utilisez \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
Politique du moniteur de fichiers	L'option Notification-based (local) utilise les notifications du système de fichiers Windows pour détecter les modifications apportées à votre journal des événements. L'option Polling-based (remote) surveille les modifications apportées aux fichiers et répertoires distants. L'agent interroge le journal des événements distant et compare le fichier au dernier intervalle d'interrogation. Si le journal des événements contient de nouveaux événements, le journal des événements est extrait.