Microsoft SharePoint utilizza SQL Server Management Studio (SSMS) per gestire i database SQL SharePoint . Per raccogliere i dati degli eventi di controllo, è necessario creare una vista database sul server Microsoft SharePoint accessibile a IBM®
QRadar®.
Prima di iniziare
Non utilizzare un punto (.) nel nome della vista o in uno dei nomi tabella. Se si utilizza un periodo nel nome della vista o della tabella, JDBC non può accedere ai dati all'interno della vista e l'accesso viene negato. Qualsiasi cosa dopo un (.) viene trattata come un oggetto secondario.
Procedura
- Accedere al sistema che ospita il database Microsoft SharePoint SQL.
- Dal menu Inizio , selezionare Esegui.
- Immettere il seguente comando:
- Fare clic su OK.
La finestra Microsoft SQL Server 2008 visualizza la finestra Connetti a server .
- Accedere al database Microsoft SharePoint .
- Fare clic su Connetti.
- Dal Esplora oggetti per il database SharePoint , fare clic su .
- Dal menu di navigazione, fare clic su Nuova query.
- Nel riquadro Query , immettere la seguente istruzione Transact - SQL per creare la vista database AuditEvent :
create view dbo.AuditEvent as select a.siteID
,a.ItemId ,a.ItemType ,u.tp_Title as "User" ,a.MachineName ,a.MachineIp ,a.DocLocation ,a.LocationType ,a.Occurred as "EventTime" ,a.Event as "EventID" ,a.EventName ,a.EventSource ,a.SourceName ,a.EventData
from WSS_Content.dbo.AuditData a, WSS_Content.dbo.UserInfo u where a.UserId = u.tp_ID and a.SiteId = u.tp_SiteID;
- Dal riquadro Query , fare clic con il pulsante destro del mouse su Esegui.
Se la vista viene creata, nel riquadro dei risultati viene visualizzato il seguente messaggio:
Command(s) completed successfully.
Viene creata la vista dbo.AuditEvent . Ora è possibile configurare l'origine log in QRadar per eseguire il polling della vista per gli eventi di verifica.