Microsoft SQL Server
IBM QRadar DSM for Microsoft SQL Server 通过使用 syslog , WinCollect Microsoft SQL 或 JDBC 协议来收集 SQL 事件。
下表标识了 Microsoft SQL Server DSM 的规范:
| 规范 | 值 |
|---|---|
| 制造商 | 微软 |
| DSM 名称 | SQL Server |
| RPM 文件名 | DSM-MicrosoftSQL-QRadar-版本-构建编号.noarch.rpm |
| 受支持的版本 | 2012 年, 2014 年 (仅限企业版) , 2016 年, 2017 年和 2019 年 |
| 事件格式 | 系统日志, JDBC, WinCollect |
| QRadar 个记录的事件类型 | SQL 错误日志事件 |
| 自动发现? | 是 |
| 包含身份? | 是 |
| 更多信息 | Microsoft Web 站点 (http://www.microsoft.com/en-us/server-cloud/products/sql-server/) |
您可以使用下列其中一种方法将 Microsoft SQL Server 与 QRadar 集成:
- Syslog
- IBM QRadar DSM for Microsoft SQL Server 可以收集LOG活页夹 SQL 事件。 有关配置LOG绑定程序 SQL 以从 Microsoft SQL Server收集事件的信息,请参阅 来自 Microsoft SQL Server
- JDBC
- Microsoft SQL Server Enterprise 可以使用 JDBC 协议来捕获审计事件。 审计事件存储在表视图中。 审计事件仅在 Microsoft SQL Server 2012, 2014 Enterprise 和 2016 中可用。
- WinCollect
- 通过使用 WinCollect 从 Microsoft SQL Server管理的数据库收集 ERRORLOG 消息,可以将 Microsoft SQL Server 2012, 2014 , 2016 , 2017 和 2019 与 QRadar 集成。 有关 WinCollect的更多信息,请转至 WinCollect 文档 (https://www.ibm.com/docs/en/qsip/7.5?topic=7-wincollect-overview)。
要将 Microsoft SQL Server DSM 与 QRadar集成,请使用以下步骤:
- 如果未启用自动更新,请从 IBM® 支持网站下载最新版本的 Microsoft SQL Server RPM 并安装到 QRadar 控制台。
- 对于 Microsoft SQL Server的每个实例,配置 Microsoft SQL Server 设备以启用与 QRadar的通信。
- 如果 QRadar 未自动发现 Microsoft SQL Server 日志源,请在网络上为 Microsoft SQL Server 的每个实例创建日志源。