Microsoft SharePoint 使用 SQL Server Management Studio (SSMS) 来管理 SharePoint SQL 数据库。 要收集审计事件数据,必须在 IBM
QRadar可访问的 Microsoft SharePoint 服务器上创建数据库视图。
在开始之前
请勿在视图名称或任何表名称中使用句点 (.)。 如果在视图或表名中使用句点,那么 JDBC 无法访问视图中的数据,并且访问被拒绝。 将 (.) 之后的任何内容视为子对象。
过程
- 登录到托管 Microsoft SharePoint SQL 数据库的系统。
- 从 开始 菜单中,选择 运行。
- 输入以下命令:
- 单击 确定。
Microsoft SQL Server 2008 显示 " 连接到服务器 " 窗口。
- 登录到 Microsoft SharePoint 数据库。
- 单击 连接。
- 从 SharePoint 数据库的 对象资源管理器 中,单击 。
- 从导航菜单中,单击 新建查询。
- 在 " 查询 " 窗格中,输入以下 Transact-SQL 语句以创建 AuditEvent 数据库视图:
create view dbo.AuditEvent as select a.siteID
,a.ItemId ,a.ItemType ,u.tp_Title as "User" ,a.MachineName ,a.MachineIp ,a.DocLocation ,a.LocationType ,a.Occurred as "EventTime" ,a.Event as "EventID" ,a.EventName ,a.EventSource ,a.SourceName ,a.EventData
from WSS_Content.dbo.AuditData a, WSS_Content.dbo.UserInfo u where a.UserId = u.tp_ID and a.SiteId = u.tp_SiteID;
- 从 " 查询 " 窗格中,右键单击并选择 执行。
如果创建了视图,那么结果窗格中将显示以下消息:
Command(s) completed successfully.
将创建 dbo.AuditEvent 视图。 现在,您已准备好在 QRadar 中配置日志源,以轮询视图中的审计事件。