Opções de configuração de origem de log do Microsoft SQL Server
Microsoft SQL Server Logs de Erro
O log de erro é um arquivo de texto padrão que contém informações de Microsoft SQL Server e mensagens de erro. WinCollect monitora o log de erro para novos eventos e encaminha o evento para IBM® Security QRadar®. O log de erros fornece informações significativas para ajudá-lo a resolver problemas ou alertá-lo sobre problemas potenciais ou existentes. A saída do log de erros inclui a data e hora em que a mensagem foi registrada, a origem da mensagem e a descrição da mensagem. Quando um erro ocorre, o log contém o número da mensagem de erro e uma descrição. Servidores Microsoft SQL mantêm backups dos últimos seis arquivos de log de erros.
O WinCollect pode coletar eventos do log de erro do Microsoft SQL Server Para coletar eventos de auditoria e autenticação do Microsoft SQL Server , configure o DSM Microsoft SQL Server . Para obter mais informações, consulte o IBM Security QRadar DSM Configuration Guide.
Os agentes WinCollect suportam coleta local e pesquisa remota para instalações do Microsoft SQL Server . Para pesquisar remotamente eventos do Microsoft SQL Server , deve-se fornecer credenciais de administrador ou credenciais de administrador de domínio Se a sua política de rede restringir o uso de credenciais de administrador, será possível instalar um agente WinCollect no mesmo host que o seu Microsoft SQL Server Instalações locais do WinCollect não requerem credenciais especiais para encaminhar eventos para QRadar.
Os logs de eventos do Microsoft SQL Server que são monitorados pelo WinCollect são definidos pelo caminho do diretório especificado na origem de log SQL do WinCollect . A tabela a seguir lista os caminhos do diretório padrão para o campo Diretório de log raiz em sua origem de log.
| Versão do Microsoft SQL | Tipo de coleta | Diretório de log raiz |
|---|---|---|
| 2012 | Local | C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG |
| 2012 | Remoto | \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\LOG |
| 2014 | Local | C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG |
| 2014 | Remoto | \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\LOG |
| 2016 | Local | C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG |
| 2016 | Remoto | \\SQL IP address\c$\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\LOG |
| 2017 | Local | C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG |
| 2017 | Remoto | \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL14.MSSQLSERVER\MSSQL\LOG |
| 2019 | Local | C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG |
| 2019 | Remoto | \\HOSTNAME\C$\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL15.MSSQLSERVER\MSSQL\LOG |
Os arquivos de log que não correspondem ao formato de log de eventos SQL não são analisados ou encaminhados para o QRadar
Versões suportadas do Microsoft SQL Server
O plug-in do WinCollect para o servidor Microsoft SQL suporta as seguintes versões de software Microsoft SQL:
- Microsoft SQL Server 2012
- Microsoft SQL Server 2014
- Microsoft SQL Server 2016
- Microsoft SQL Server 2017
- Microsoft SQL Server 2019
A tabela a seguir descreve os parâmetros de protocolo do servidor Microsoft SQL.
| Parâmetro | Descrição |
|---|---|
| Tipo de origem de log | Microsoft SQL |
| Configuração de protocolo | WinCollect Microsoft SQL |
| Diretório-raiz | Microsoft SQL 2012
Microsoft SQL 2014
Microsoft SQL 2016
Microsoft SQL 2017
Microsoft SQL 2019
|
| Política de Monitor de Arquivos | A opção Notificação baseada em Notificação (local) usa as notificações do sistema de arquivos do Windows para detectar alterações em seu log de eventos. A opção Baseado em pesquisa (remoto) monitora mudanças em diretórios e arquivos remotos. O agente pesquisa o log de eventos remoto e compara o arquivo com o último intervalo de pesquisa. Se o log de eventos contiver novos eventos, será recuperado. |