Microsoft SQL Server サンプル・イベント・メッセージ
このサンプル・イベント・メッセージは、 IBM QRadarとの統合が正常に行われたことを確認するために使用します。
重要: フォーマットの問題が原因で、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
Syslog プロトコルを使用する場合の Microsoft SQL Server サンプル・メッセージ
以下のサンプル・イベント・メッセージは、Microsoft SQL Server Drop Login イベントを示しています。
event_time: "2019-02-11 13:17:32.0931454" sequence_number: "1" action_id: "DR" succeeded: "true" permission_bitmask: "00000000000000000000000000000000" is_column_permission: "false" session_id: "93" server_principal_id: "261" database_principal_id: "1" target_server_principal_id: "0" target_database_principal_id: "0" object_id: "280" class_type: "WL" session_server_principal_name: "test\testUser" server_principal_name: "test\testUser" server_principal_sid: "010500000000000515000000400A7B7284B93A98D9627B492A050000" database_principal_name: "dbo" target_server_principal_name: "" target_server_principal_sid: "null" target_database_principal_name: "" server_instance_name: "testInstance" database_name: "master" schema_name: "" object_name: "test\9testSIEMSQLread" statement: "DROP LOGIN [test\9testSIEMSQLread]" additional_information: "" file_name: "L:\Audit\Audit-20190201-185847_AAD06900-8725-43A2-A949-9F15D560395A_0_131938307626970000.sqlaudit" audit_file_offset: "35328" user_defined_event_id: "0" user_defined_information: "" audit_schema_version: "1" sequence_group_id: "8EDC9010D8D0294FB639D026C4CB2241" transaction_id: "1321291"| QRadarフィールド名 | イベント・ペイロードで強調表示される値 |
|---|---|
| イベント ID | action_id + class_type |
| カテゴリー | Microsoft SQL Server DSM がこのタイプのイベントを解析する場合、 QRadar の 「カテゴリー」 値は常に MicrosoftSQLになります。 |
| Username | session_server_principal_name |
| ログ・ソースの時刻 | event_time |