Microsoft SQL Server ログ・ソース構成オプション

この参照情報を使用して、 Microsoft SQL Server用の WinCollect プラグインを構成します。

Microsoft SQL Server エラー・ログ

エラー・ログは、 Microsoft SQL Server の情報およびエラー・メッセージを含む標準テキスト・ファイルです。 WinCollect は、エラー・ログで新規イベントをモニターし、そのイベントを IBM® Security QRadar®に転送します。エラー・ログは、問題のトラブルシューティングや、潜在的な問題や既存の問題に関するアラートの通知に役立つ、意味のある情報を提供します。エラー・ログ出力には、メッセージのログが記録された日時、メッセージのソース、およびメッセージの説明が含まれます。エラーが発生した場合、ログには、エラー・メッセージ番号および説明が含まれます。 Microsoft SQL Server は、最新の 6 個のエラー・ログ・ファイルのバックアップを保持します。

WinCollect は、Microsoft SQL Server のエラー・ログ・イベントを収集できます。 Microsoft SQL Server の監査イベントおよび認証イベントを収集するには、 Microsoft SQL Server DSM を構成します。詳しくは、「IBM Security QRadar DSM 構成ガイド」を参照してください。

WinCollect エージェントは、Microsoft SQL Server インストール済み環境でのローカル収集およびリモート・ポーリングをサポートします。 Microsoft SQL Server イベントをリモートでポーリングするには、管理者資格情報またはドメイン管理者資格情報を指定する必要があります。ネットワーク・ポリシーによって管理者資格情報の使用が制限されている場合は、 Microsoft SQL Serverと同じホストに WinCollect エージェントをインストールできます。 WinCollect のローカル・インストールでは、イベントを QRadarに転送するために特別な資格情報は必要ありません。

WinCollect によってモニターされる Microsoft SQL Server イベント・ログは、 WinCollect SQL ログ・ソースで指定したディレクトリー・パスによって定義されます。以下の表に、ログ・ソース内のルート・ログ・ディレクトリー・フィールドのデフォルトのディレクトリー・パスをリストします。

表 1. Microsoft SQL イベントのデフォルトのルート・ログ・ディレクトリー・パス
Microsoft SQL のバージョン	収集タイプ	ルート・ログ・ディレクトリー
2012	ローカル	C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2012	リモート	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2014	ローカル	C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2014	リモート	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2016 年	ローカル	C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2016 年	リモート	\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2017 年	ローカル	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2017 年	リモート	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2019	ローカル	C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
2019	リモート	\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG

SQL イベント・ログ・フォーマットと一致しないログ・ファイルは、構文解析されず、 QRadarに転送されません。

サポートされる Microsoft SQL Server のバージョン

Microsoft SQL Server 用の WinCollect プラグインは、以下の Microsoft SQL ソフトウェア・バージョンをサポートします。

Microsoft SQL Server 2012
Microsoft SQL Server 2014
Microsoft SQL Server 2016
Microsoft SQL Server 2017
Microsoft SQL Server 2019

以下の表で、Microsoft SQL Server プロトコルのパラメーターについて説明します。

表 2. Microsoft SQL Server プロトコル・パラメーター
パラメーター	説明
ログ・ソース・タイプ	Microsoft SQL
プロトコル構成	WinCollect マイクロソフトSQL
ルート・ディレクトリー	マイクロソフト SQL 2012 ローカル・ディレクトリー・パスには、 C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log を使用します。リモート・ディレクトリー・パスには、\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log を使用します。マイクロソフト SQL 2014 ローカル・ディレクトリー・パスには、C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log を使用します。リモート・ディレクトリー・パスには、\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log を使用します。マイクロソフト SQL 2016 ローカル・ディレクトリー・パスには、C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG を使用します。リモート・ディレクトリー・パスには、\\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Log を使用します。マイクロソフト SQL 2017 ローカル・ディレクトリー・パスには、C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG を使用します。リモート・ディレクトリー・パスには、\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG を使用します。マイクロソフト SQL 2019 ローカル・ディレクトリー・パスには、C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG を使用します。リモート・ディレクトリー・パスには、\\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG を使用します。
ファイル・モニター・ポリシー	「通知ベース (ローカル) (Notification-based (local))」オプションは、Windows ファイル・システム通知を使用して、イベント・ログの変更を検出します。「ポーリング・ベース (リモート) (Polling-based (remote))」オプションは、リモートのファイルおよびディレクトリーの変更をモニターします。エージェントは、リモート・イベント・ログをポーリングし、そのファイルを前回のポーリング間隔と比較します。イベント・ログに新しいイベントが記録されている場合は、イベント・ログを取得します。