Microsoft SQL Server 로그 소스 구성 옵션

참조 정보를 사용하여 Microsoft SQL Server용 WinCollect 플러그인을 구성하십시오.

Microsoft SQL Server 오류 로그

오류 로그는 Microsoft SQL Server 정보 및 오류 메시지를 포함하는 표준 텍스트 파일입니다. WinCollect 는 오류 로그에서 새 이벤트를 모니터하고 이벤트를 IBM® Security QRadar®로 전달합니다. 오류 로그는 문제를 해결하거나 잠재적 또는 기존 문제를 사용자에게 알리는 데 도움이 되는 의미 있는 정보를 제공합니다. 오류 로그 출력에는 메시지가 기록된 시간과 날짜, 메시지 소스 및 메시지 설명이 포함됩니다. 오류가 발생하면 오류 메시지 번호와 설명이 로그에 기록됩니다. Microsoft SQL Server는 마지막 6개오류 로그 파일의 백업을 보유합니다.

WinCollect 는 Microsoft SQL Server 오류 로그 이벤트를 수집할 수 있습니다. Microsoft SQL Server 감사 및 인증 이벤트를 수집하기 위해 Microsoft SQL Server DSM을 구성합니다. 자세한 정보는 IBM Security QRadar DSM 구성 안내서를 참조하십시오.

WinCollect 에이전트는 Microsoft SQL Server 설치를 위한 로컬 콜렉션 및 원격 폴링을 지원합니다. Microsoft SQL Server 이벤트를 원격으로 폴링하려면 관리자 신임 정보 또는 도메인 관리자 신임 정보를 제공해야 합니다. 네트워크 정책이 관리자 신임 정보의 사용을 제한하는 경우 Microsoft SQL Server와 동일한 호스트에 WinCollect 에이전트를 설치할 수 있습니다. WinCollect 의 로컬 설치에는 이벤트를 QRadar로 전달하기 위한 특수 신임 정보가 필요하지 않습니다.

WinCollect 가 모니터하는 Microsoft SQL Server 이벤트 로그는 WinCollect SQL 로그 소스에서 지정하는 디렉토리 경로에 의해 정의됩니다. 다음 표에서는 로그 소스의 루트 로그 디렉토리 필드에 대한 기본 디렉토리 경로를 나열합니다.

표 1. 기본 루트 로그 디렉토리 경로 Microsoft SQL 이벤트
Microsoft SQL 버전 콜렉션 유형 루트 로그 디렉토리
2012 로컬 C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2012 원격 \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG
2014 로컬 C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2014 원격 \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG
2016 로컬 C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2016 원격 \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG
2017 로컬 C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2017 원격 \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG
2019 로컬 C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG
2019 원격 \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG

SQL 이벤트 로그 형식과 일치하지 않는 로그 파일은 구문 분석되거나 QRadar로 전달되지 않습니다.

지원되는 Microsoft SQL Server 버전

Microsoft SQL Server용 WinCollect 플러그인은 다음 Microsoft SQL 소프트웨어 버전을 지원합니다.

  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2014
  • Microsoft SQL Server 2016
  • Microsoft SQL Server 2017
  • Microsoft SQL Server 2019

다음 표에서는 Microsoft SQL Server 프로토콜 매개변수에 대해 설명합니다.

표 2. Microsoft SQL Server 프로토콜 매개변수
매개변수 설명
로그 소스 유형 Microsoft SQL
프로토콜 구성 WinCollect Microsoft SQL
루트 디렉토리
마이크로소프트 SQL 2012
  • 로컬 디렉토리 경로의 경우 C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log 사용
  • 원격 디렉토리 경로의 경우 \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log 사용
마이크로소프트 SQL 2014
  • 로컬 디렉토리 경로의 경우 C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log 사용
  • 원격 디렉토리 경로의 경우 \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Log 사용
마이크로소프트 SQL 2016
  • 로컬 디렉토리 경로의 경우 C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG 사용
  • 원격 디렉토리 경로의 경우 \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Log 사용
Microsoft SQL 2017년
  • 로컬 디렉토리 경로의 경우 C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG 사용
  • 원격 디렉토리 경로의 경우 \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG 사용
Microsoft SQL 2019
  • 로컬 디렉토리 경로의 경우 C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG 사용
  • 원격 디렉토리 경로의 경우 \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG 사용
파일 모니터 정책

알림 기반 (로컬) 옵션은 Windows 파일 시스템 알림을 사용하여 이벤트 로그에 대한 변경사항을 발견합니다.

폴링 기반(원격) 옵션은 원격 파일과 디렉토리에 대한 변경사항을 모니터합니다. 에이전트는 원격 이벤트 로그를 폴링하고 파일을 마지막 폴링 간격과 비교합니다. 이벤트 로그에 새 이벤트가 포함되면 이벤트 로그가 검색됩니다.