Opzioni di configurazione dell'origine log Microsoft SQL Server

Utilizzare le informazioni di riferimento per la configurazione del plugin WinCollect per Microsoft SQL Server

Log degli errori di Microsoft SQL Server

Il log degli errori è un file di testo standard che contiene le informazioni e i messaggi di errore di Microsoft SQL Server . WinCollect controlla il log degli errori per nuovi eventi e inoltra l'evento a IBM® Security QRadar®. Il log degli errori fornisce informazioni utili per la risoluzione dei problemi o per avvisare l'utente di problemi potenziali o esistenti. L'output del log degli errori include l'ora e la data di registrazione del messaggio, l'origine del messaggio e la descrizione del messaggio. Se si verifica un errore, il log contiene il numero del messaggio di errore e una descrizione. Microsoft SQL Server conserva i backup degli ultimi sei file di log degli errori.

WinCollect può raccogliere gli eventi del log degli errori di Microsoft SQL Server. Per raccogliere gli eventi di verifica e autenticazione Microsoft SQL Server , configurare il DSM Microsoft SQL Server . Per ulteriori informazioni, consultare IBM Security QRadar DSM Configuration Guide.

Gli agent WinCollect supportano la raccolta locale e il polling remoto per le installazioni di Microsoft SQL Server . Per eseguire il polling in remoto per gli eventi di Microsoft SQL Server , è necessario fornire le credenziali di amministratore o le credenziali di amministratore del dominio. Se la politica di rete limita l'uso delle credenziali di amministratore, è possibile installare un agent WinCollect sullo stesso host di Microsoft SQL Server. Le installazioni locali di WinCollect non richiedono credenziali speciali per inoltrare eventi a QRadar.

I log eventi di Microsoft SQL Server monitorati da WinCollect sono definiti dal percorso di directory specificato nell'origine log SQL WinCollect . La seguente tabella elenca i percorsi di directory predefiniti per il campo Directory log root nell'origine log.

Tabella 1. Percorsi della directory di log root predefinita Eventi Microsoft SQL
Versione Microsoft SQL	Tipo di ritiro	Directory log root
2012	Locale	C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2012	Remoto	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2014	Locale	C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2014	Remoto	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2016	Locale	C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2016	Remoto	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2017	Locale	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2017	Remoto	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2019	Locale	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
2019	Remoto	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG

I file di log che non corrispondono al formato del log eventi SQL non vengono analizzati o inoltrati a QRadar.

Versioni supportate di Microsoft SQL Server

Il plug-in WinCollect per Microsoft SQL Server supporta le seguenti versioni del software Microsoft SQL:

Microsoft SQL Server 2012
Microsoft SQL Server 2014
Microsoft SQL Server 2016
Microsoft SQL Server 2017
Microsoft SQL Server 2019

La seguente tabella descrive i parametri del protocollo Microsoft SQL server.

Tabella 2. Microsoft SQL Server
Parametro	Descrizione
Tipo di origine log	SQL Microsoft
Configurazione protocollo	WinCollect SQL Microsoft
Directory root	Microsoft SQL 2012 Per un percorso di directory locale, utilizzare C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log Per un percorso di directory remota, utilizzare \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log Microsoft SQL 2014 Per un percorso di directory locale, utilizzare C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log Per un percorso di directory remota, utilizzare \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log Microsoft SQL 2016 Per un percorso di directory locale, utilizzare C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG Per un percorso di directory remota, utilizzare \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Log Microsoft SQL 2017 Per un percorso di directory locale, utilizzare C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG Per un percorso di directory remota, utilizzare \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG Microsoft SQL 2019 Per un percorso di directory locale, utilizzare C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG Per un percorso di directory remota, utilizzare \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
Politica di monitoraggio file	L'opzione Basata sulla notifica (locale) utilizza le notifiche del filesystem Windows per rilevare le modifiche al log eventi. L'opzione Basato sul polling (remoto) monitora le modifiche ai file e alle directory remoti. L'agent esegue il polling del log eventi remoto e confronta il file con l'ultimo intervallo di polling. Se il log eventi contiene nuovi eventi, viene richiamato il log eventi.