Diese Seite wurde von der Cloud Translation API übersetzt.

Microsoft SQL Server-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Microsoft SQL Server-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet sowohl strukturierte (JSON, Schlüssel/Wert-Paare) als auch semistrukturierte (Syslog) Microsoft SQL Server-Logs. Es werden Felder extrahiert, Zeitstempel normalisiert, verschiedene Logformate basierend auf SourceModuleType- und Message-Inhalten (einschließlich Audit-, Anmelde- und Datenbankereignissen) verarbeitet und der UDM zugeordnet. Außerdem wird eine spezielle Parsing-Logik für Audit-Datensätze, Anmeldeversuche und Datenbankvorgänge ausgeführt, um die Daten mit zusätzlichen Kontext- und Schweregradinformationen anzureichern.SQL Server-Audit- und Fehlerlogs werden über einen Syslog-Forwarder (NXLog) aus dem Windows-Ereignisprotokoll erfasst und an den BindPlane-Agent gesendet, damit sie an Google SecOps übermittelt werden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Host mit Windows Server 2016 oder höher, auf dem Microsoft SQL Server ausgeführt wird
Administratorzugriff zum Installieren und Konfigurieren von BindPlane Agent und NXLog
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Unter Windows befindet sich der Agent in der Regel im Verzeichnis `C:\Program Files\observIQ\bindplane-agent`.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

  receivers:
  udplog:
     # Replace the port and IP address as required
     listen_address: "0.0.0.0:1514"

  exporters:
  chronicle/chronicle_w_labels:
     compression: gzip
     # Adjust the path to the credentials file you downloaded in Step 1
     creds_file_path: '/path/to/ingestion-authentication-file.json'
     # Replace with your actual customer ID from Step 2
     customer_id: <YOUR_CUSTOMER_ID>
     endpoint: malachiteingestion-pa.googleapis.com
     # Add optional ingestion labels for better organization
     log_type: 'MICROSOFT_SQL'
     raw_log_field: body
     ingestion_labels:

  service:
  pipelines:
     logs/source0__chronicle_w_labels-0:
        receivers:
        - udplog
        exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

SQL Server-Prüfung im Windows-Ereignisprotokoll aktivieren

Sie können die SQL Server-Prüfung entweder über die SSMS-GUI (SQL Server Management Studio) oder mit T-SQL-Befehlen aktivieren. Wählen Sie die Option aus, die am besten zu Ihrer Umgebung passt.

Option 1: SQL Server-Prüfung über die SSMS-GUI aktivieren

Serverüberwachung in der Benutzeroberfläche von SQL Server Management Studio erstellen

Öffnen Sie SQL Server Management Studio (SSMS) und stellen Sie eine Verbindung zu Ihrer SQL Server-Instanz her.
Maximieren Sie im Object Explorer Ihre Serverinstanz.
Maximieren Sie den Ordner Sicherheit.
Klicken Sie mit der rechten Maustaste auf Audits und wählen Sie Neues Audit aus.
Geben Sie im Dialogfeld Audit erstellen die folgenden Konfigurationsdetails an:
- Name des Audits: Geben Sie ChronicleAudit ein.
- Warteschlangendelay (in Millisekunden): Geben Sie 1000 ein.
- Bei Audit-Log-Fehler: Wählen Sie Weiter aus.
- Auditziel: Wählen Sie Anwendungsprotokoll aus.
Klicken Sie auf OK, um den Audit zu erstellen.
Klicken Sie im Object Explorer mit der rechten Maustaste auf die neu erstellte ChronicleAudit und wählen Sie Enable Audit (Überwachung aktivieren) aus.

Audit-Spezifikation für Server über die SSMS-GUI erstellen

Maximieren Sie im Object Explorer die Option Sicherheit.
Klicken Sie mit der rechten Maustaste auf Server Audit Specifications (Audit-Spezifikationen für Server) und wählen Sie New Server Audit Specification (Neue Audit-Spezifikation für Server) aus.
Geben Sie im Dialogfeld Server-Überwachungsspezifikation erstellen die folgenden Konfigurationsdetails an:
- Name: Geben Sie ChronicleAuditSpec ein.
- Prüfung: Wählen Sie im Menü ChronicleAudit aus.
Klicken Sie im Bereich Audit Action Type (Aktionstyp für Audit) auf Add (Hinzufügen) und wählen Sie die folgenden Gruppen von Audits aus. Fügen Sie jede Gruppe einzeln hinzu, indem Sie nach der Auswahl auf Add (Hinzufügen) klicken:
- FAILED_LOGIN_GROUP
- SUCCESSFUL_LOGIN_GROUP
- LOGOUT_GROUP
- SERVER_ROLE_MEMBER_CHANGE_GROUP
- DATABASE_OBJECT_CHANGE_GROUP
- DATABASE_PRINCIPAL_CHANGE_GROUP
- SCHEMA_OBJECT_CHANGE_GROUP
- DATABASE_PERMISSION_CHANGE_GROUP
Klicken Sie auf OK, um die Prüfspezifikation zu erstellen.
Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf die neu erstellte ChronicleAuditSpec und wählen Sie Server-Auditspezifikation aktivieren aus.

Prüfungskonfiguration prüfen

Maximieren Sie im Object Explorer die Option Sicherheit > Überwachungen.
Klicken Sie mit der rechten Maustaste auf ChronicleAudit und wählen Sie Properties (Eigenschaften) aus.
Prüfen Sie, ob der Status als Gestartet oder Aktiviert angezeigt wird.
Maximieren Sie Sicherheit > Server Audit Specifications (Sicherheitsprüfungsspezifikationen für Server).
Klicken Sie mit der rechten Maustaste auf ChronicleAuditSpec und wählen Sie Properties (Eigenschaften) aus.
Prüfen Sie, ob alle acht Gruppen von Prüfaktionen aufgeführt sind und die Spezifikation aktiviert ist.

Option 2: SQL Server-Audit mit T-SQL aktivieren

Öffnen Sie SQL Server Management Studio (SSMS) und stellen Sie eine Verbindung zu Ihrer SQL Server-Instanz her.

Führen Sie die folgenden T-SQL-Befehle aus, um ein Serveraudit zu erstellen, das in das Windows-Anwendungsprotokoll schreibt:

USE master;
GO

CREATE SERVER AUDIT ChronicleAudit
TO APPLICATION_LOG
WITH (QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE);
GO

ALTER SERVER AUDIT ChronicleAudit WITH (STATE = ON);
GO

Erstellen Sie eine Auditspezifikation, um relevante Sicherheitsereignisse zu erfassen:

CREATE SERVER AUDIT SPECIFICATION ChronicleAuditSpec
FOR SERVER AUDIT ChronicleAudit
ADD (FAILED_LOGIN_GROUP),
ADD (SUCCESSFUL_LOGIN_GROUP),
ADD (LOGOUT_GROUP),
ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP),
ADD (DATABASE_OBJECT_CHANGE_GROUP),
ADD (DATABASE_PRINCIPAL_CHANGE_GROUP),
ADD (SCHEMA_OBJECT_CHANGE_GROUP),
ADD (DATABASE_PERMISSION_CHANGE_GROUP);
GO

ALTER SERVER AUDIT SPECIFICATION ChronicleAuditSpec WITH (STATE = ON);
GO

Diese Konfiguration sorgt dafür, dass Authentifizierungsereignisse, Berechtigungsänderungen und Objektänderungen im Windows-Ereignislog protokolliert werden.

NXLog installieren und konfigurieren, um Ereignisse an BindPlane weiterzuleiten

Laden Sie die NXLog Community Edition von nxlog.co/downloads herunter.
Öffnen Sie das Installationsprogramm und führen Sie den Installationsassistenten aus.
Öffnen Sie die NXLog-Konfigurationsdatei unter:
```
C:\Program Files\nxlog\conf\nxlog.conf
```

Ersetzen Sie den Inhalt durch die folgende Konfiguration:

define ROOT C:\Program Files\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension _json>
   Module      xm_json
</Extension>

<Input in_eventlog>
   Module      im_msvistalog
   Query       <QueryList>\
                  <Query Id="0">\
                        <Select Path="Application">*[System[Provider[@Name='MSSQLSERVER']]]</Select>\
                  </Query>\
               </QueryList>
</Input>

<Output out_syslog>
   Module      om_udp
   Host        127.0.0.1
   Port        1514
   Exec        to_json();
</Output>

<Route r1>
   Path        in_eventlog => out_syslog
</Route>

Ersetzen Sie den aktuellen Wert 127.0.0.1 von Host durch die IP-Adresse des Bindplane-Agents.
Der Wert für Port muss mit dem zuvor konfigurierten Bindplane-Empfängerport udplog übereinstimmen.

Speichern Sie die Datei und starten Sie den NXLog-Dienst neu:
```
net stop nxlog && net start nxlog
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`AccountName`	`principal.user.userid`	Wird für `principal.user.userid` verwendet, wenn in Logs wie „Datenbank wird gestartet“ oder „Log wurde gesichert“ vorhanden.
`AgentDevice`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „AgentDevice“ hinzugefügt.
`AgentLogFile`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „AgentLogFile“ hinzugefügt.
`agent.hostname`	`observer.asset.hostname`	Wird dem Hostnamen des Beobachters zugeordnet.
`agent.id`	`observer.asset_id`	Mit `agent.type` verkettet, um `observer.asset_id` zu bilden.
`agent.type`	`observer.asset_id`	Mit `agent.id` verkettet, um `observer.asset_id` zu bilden.
`agent.version`	`observer.platform_version`	Entspricht der Version der Beobachterplattform.
`ApplicationName`	`principal.application`	Wird der Hauptanwendung zugeordnet.
`application_name`	`target.application`	Wird der Zielanwendung zugeordnet.
`client_address`	`principal.ip`	Wird für die IP-Adresse des Hauptkontos verwendet, wenn sie sich vom Host unterscheidet und nicht lokal oder eine Named Pipe ist.
`client_ip`	`principal.ip`	Wird der Hauptkonto-IP-Adresse zugeordnet.
`computer_name`	`about.hostname`	Entspricht „about hostname“.
`correlationId`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar zu `security_result.detection_fields` mit dem Schlüssel „correlationId“ hinzugefügt.
`Date`	`metadata.event_timestamp`	Wird mit `Time` kombiniert, um den Ereigniszeitstempel zu erstellen.
`database_name`	`target.resource_ancestors.name`	Wird für den Namen des übergeordneten Elements der Zielressource verwendet, sofern in Audit-Logs vorhanden.
`durationMs`	`network.session_duration.seconds`	Von Millisekunden in Sekunden umgerechnet und zugeordnet.
`ecs.version`	`metadata.product_version`	Entspricht der Produktversion.
`error`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar zu `security_result.detection_fields` mit dem Schlüssel „error“ hinzugefügt.
`err_msg`	`security_result.description`	Wird der Beschreibung des Sicherheitsergebnisses zugeordnet.
`EventID`	`metadata.product_event_type`	Wird verwendet, um den Produktereignistyp zu erstellen, wenn andere Felder nicht verfügbar sind. Das Präfix lautet „EventID: “.
`event.action`	`Source`	Wird als Quelle verwendet, falls vorhanden.
`event.code`	`metadata.product_event_type`	Kombiniert mit `event.provider`, um `metadata.product_event_type` zu bilden.
`event.provider`	`metadata.product_event_type`	Kombiniert mit `event.code`, um `metadata.product_event_type` zu bilden.
`EventReceivedTime`	`metadata.ingested_timestamp`	Wird geparst und als Zeitstempel für die Aufnahme verwendet.
`event_time`	`metadata.event_timestamp`	Wird als Ereigniszeitstempel geparst und verwendet.
`file_name`	`principal.process.file.full_path`	Wird dem vollständigen Pfad der Hauptprozessdatei zugeordnet.
`file_path`	`target.file.full_path`	Wird für den vollständigen Pfad der Zieldatei verwendet, wenn er in Sicherungsprotokollen gefunden wird.
`first_lsn`	`target.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar zu `target.resource.attribute.labels` mit dem Schlüssel „First LSN“ hinzugefügt.
`host`	`principal.hostname`, `observer.hostname`	Wird für den Hostnamen des Hauptkontos oder Beobachters verwendet, wenn es sich nicht um eine IP-Adresse handelt. Wird auch für den Zielhostnamen oder die Ziel-IP verwendet, je nachdem, ob es sich um eine IP handelt oder nicht.
`host.ip`	`principal.ip`	Mit der primären IP-Adresse zusammengeführt.
`host.name`	`host`	Wird als Host verwendet, sofern vorhanden.
`Hostname`	`principal.hostname`, `target.hostname`	Wird für den Prinzipal- oder Zielhostnamen verwendet, sofern vorhanden.
`hostinfo.architecture`	`principal.asset.hardware.cpu_platform`	Entspricht der CPU-Plattform der Hardware des primären Assets.
`hostinfo.os.build`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „os_build“ hinzugefügt.
`hostinfo.os.kernel`	`principal.platform_patch_level`	Entspricht dem Patch-Level der Hauptplattform.
`hostinfo.os.name`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „os_name“ hinzugefügt.
`hostinfo.os.platform`	`principal.platform`	In Großbuchstaben und der Hauptplattform zugeordnet.
`hostinfo.os.version`	`principal.platform_version`	Entspricht der Hauptplattformversion.
`last_lsn`	`target.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar zu `target.resource.attribute.labels` mit dem Schlüssel „Last LSN“ hinzugefügt.
`level`	`security_result.severity`	Wenn „Informational“, wird `security_result.severity` auf „INFORMATIONAL“ festgelegt.
`log.level`	`security_result.severity_details`	Ordnet Schweregraden von Sicherheitsergebnissen Details zu.
`LoginName`	`principal.user.userid`	Wird für die Hauptnutzer-ID verwendet, sofern in KV-Logs vorhanden.
`login_result`	`security_result.action`	Bestimmt die Aktion für das Sicherheitsergebnis (ALLOW oder BLOCK).
`logon_user`	`principal.user.userid`	Wird für die Hauptnutzer-ID verwendet, sofern sie in Anmeldeprotokollen vorhanden ist.
`logstash.process.host`	`intermediary.hostname`	Wird dem Hostnamen des Vermittlers zugeordnet.
`Message`	`metadata.description`, `security_result.description`	Wird je nach Protokolltyp für die Ereignisbeschreibung oder die Beschreibung des Sicherheitsergebnisses verwendet.
`msg`	`metadata.description`	Wird für die Ereignisbeschreibung verwendet, falls vorhanden.
`ObjectName`	`target.resource.name`	Wird dem Namen der Zielressource zugeordnet.
`object_name`	`target.resource.name`	Wird für den Namen der Zielressource verwendet, sofern in Audit-Logs vorhanden.
`ObjectType`	`target.resource.type`	Wird dem Typ der Zielressource zugeordnet.
`operationId`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar zu `security_result.detection_fields` mit dem Schlüssel „operationId“ hinzugefügt.
`operationName`	`metadata.product_event_type`	Wird dem Produktereignistyp zugeordnet.
`operationVersion`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „operationVersion“ hinzugefügt.
`ProcessInfo`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „ProcessInfo“ hinzugefügt.
`properties.apiVersion`	`metadata.product_version`	Entspricht der Produktversion.
`properties.appId`	`target.resource.product_object_id`	Wird der Produktobjekt-ID der Zielressource zugeordnet.
`properties.clientAuthMethod`	`extensions.auth.auth_details`	Wird verwendet, um Authentifizierungsdetails zu ermitteln.
`properties.clientRequestId`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „clientRequestId“ hinzugefügt.
`properties.durationMs`	`network.session_duration.seconds`	In Sekunden umgerechnet und zugeordnet.
`properties.identityProvider`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar zu `security_result.detection_fields` mit dem Schlüssel „identityProvider“ hinzugefügt.
`properties.ipAddress`	`principal.ip`, `principal.asset.ip`	Nach IP-Adressen geparst und in die IP-Adresse des Hauptkontos und die IP-Adresse des Hauptassets zusammengeführt.
`properties.location`	`principal.location.name`	Wird dem Namen des Hauptstandorts zugeordnet.
`properties.operationId`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar zu `security_result.detection_fields` mit dem Schlüssel „operationId“ hinzugefügt.
`properties.requestId`	`metadata.product_log_id`	Entspricht der Produktprotokoll-ID.
`properties.requestMethod`	`network.http.method`	Wird der HTTP-Methode des Netzwerks zugeordnet.
`properties.requestUri`	`target.url`	Wird der Ziel-URL zugeordnet.
`properties.responseSizeBytes`	`network.received_bytes`	In eine vorzeichenlose Ganzzahl konvertiert und zugeordnet.
`properties.responseStatusCode`	`network.http.response_code`	In eine Ganzzahl umgewandelt und zugeordnet.
`properties.roles`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „roles“ hinzugefügt.
`properties.servicePrincipalId`	`principal.user.userid`	Wird für die Hauptnutzer-ID verwendet, wenn `properties.userId` nicht vorhanden ist.
`properties.signInActivityId`	`network.session_id`	Entspricht der Netzwerk-Sitzungs-ID.
`properties.tenantId`	`metadata.product_deployment_id`	Entspricht der ID der Produktbereitstellung.
`properties.tokenIssuedAt`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „tokenIssuedAt“ hinzugefügt.
`properties.userAgent`	`network.http.user_agent`	Entspricht dem HTTP-User-Agent des Netzwerks.
`properties.userId`	`principal.user.userid`	Wird für die Hauptnutzer-ID verwendet, falls vorhanden.
`properties.wids`	`security_result.detection_fields`	Wird als Schlüssel/Wert-Paar zu `security_result.detection_fields` mit dem Schlüssel „wids“ hinzugefügt.
`reason`	`security_result.summary`	Wird für die Zusammenfassung der Sicherheitsergebnisse bei Anmeldeereignissen verwendet.
`resourceId`	`target.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar zu `target.resource.attribute.labels` mit dem Schlüssel „Resource ID“ hinzugefügt.
`schema_name`	`target.resource_ancestors.resource_subtype`	Wird für den übergeordneten Untertyp der Zielressource verwendet, sofern in Audit-Logs vorhanden.
`security_result.description`	`metadata.description`	Wird für die Ereignisbeschreibung verwendet, wenn es sich nicht um ein Prüfereignis handelt.
`security_result.severity`	`security_result.severity`	Wird direkt zugeordnet, sofern vorhanden. Wird für KV-Logs auf „LOW“ und für bestimmte Fehlermeldungen auf „INFORMATIONAL“ gesetzt und aus den Feldern `level` oder `Severity` abgeleitet.
`security_result.severity_details`	`security_result.severity_details`	Wird direkt zugeordnet, sofern vorhanden.
`security_result.summary`	`security_result.summary`	Wird direkt zugeordnet, sofern vorhanden. Auf „Connection made using Windows authentication“ (Verbindung über Windows-Authentifizierung hergestellt) oder bestimmte Gründe aus Anmeldeereignissen oder „SQL Server Audit Record“ (SQL Server-Audit-Datensatz) für Auditereignisse festgelegt.
`security_result_action`	`security_result.action`	Mit `security_result.action` zusammengeführt. Für die meisten Ereignisse auf „ALLOW“ festgelegt und für Anmeldeereignisse aus `login_result` abgeleitet.
`server_instance_name`	`target.hostname`	Wird für den Ziel-Hostname verwendet, sofern in Audit-Logs vorhanden.
`server_principal_name`	`principal.user.userid`	Wird für die Hauptnutzer-ID verwendet, sofern in Audit-Logs vorhanden.
`server_principal_sid`	`principal.asset_id`	Wird verwendet, um die ID des Haupt-Assets zu erstellen. Das Präfix lautet „server SID:“ (Server-SID:).
`session_id`	`network.session_id`	Wird für die Netzwerk-Sitzungs-ID verwendet, sofern sie in Audit-Logs vorhanden ist.
`sev`	`security_result.severity`	Wird verwendet, um den Schweregrad des Sicherheitsergebnisses zu bestimmen.
`Severity`	`security_result.severity`	Wird verwendet, um den Schweregrad des Sicherheitsergebnisses zu bestimmen.
`Source`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „Source“ hinzugefügt.
`source`	`principal.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar zu `principal.resource.attribute.labels` mit dem Schlüssel „source“ hinzugefügt.
`SourceModuleType`	`observer.application`	Entspricht der Observer-Anwendung.
`SourceModuleName`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` mit dem Schlüssel „SourceModuleName“ hinzugefügt.
`source_module_name`	`observer.labels`	Wird als Schlüssel/Wert-Paar zu `observer.labels` mit dem Schlüssel „SourceModuleName“ hinzugefügt.
`source_module_type`	`observer.application`	Entspricht der Observer-Anwendung.
`SPID`	`network.session_id`	Entspricht der Netzwerk-Sitzungs-ID.
`statement`	`target.process.command_line`	Wird für die Befehlszeile des Zielprozesses verwendet, sofern in Audit-Logs vorhanden.
`TextData`	`security_result.description`, `metadata.description`	Wird für die Beschreibung des Sicherheitsergebnisses verwendet, wenn es sich nicht um ein Anmeldeereignis handelt, oder für die Ereignisbeschreibung, wenn es sich um ein Anmeldeereignis handelt.
`time`	`metadata.event_timestamp`	Wird als Ereigniszeitstempel geparst und verwendet.
`Time`	`metadata.event_timestamp`	Wird mit `Date` kombiniert, um den Ereigniszeitstempel zu erstellen.
`transaction_id`	`target.resource.attribute.labels`	Wird als Schlüssel/Wert-Paar zu `target.resource.attribute.labels` mit dem Schlüssel „transaction_id“ hinzugefügt.
`UserID`	`principal.user.windows_sid`	Wird für die Windows-Sicherheits-ID des Hauptnutzers verwendet, sofern vorhanden und im richtigen Format.
`user_id`	`principal.user.userid`	Wird für die Hauptnutzer-ID verwendet, falls vorhanden.
`metadata.log_type`	`metadata.log_type`	Fest codiert auf „MICROSOFT_SQL“.
`metadata.vendor_name`	`metadata.vendor_name`	Fest codiert auf „Microsoft“.
`metadata.product_name`	`metadata.product_name`	Fest codiert auf „SQL Server“.
`metadata.event_type`	`metadata.event_type`	Kann je nach Protokollinhalt auf verschiedene Werte festgelegt werden, darunter „USER_LOGIN“, „USER_LOGOUT“, „STATUS_STARTUP“, „STATUS_SHUTDOWN“, „NETWORK_HTTP“, „GENERIC_EVENT“ und standardmäßig „STATUS_UNCATEGORIZED“.
`extensions.auth.type`	`extensions.auth.type`	Für An- und Abmeldeereignisse auf „MACHINE“ festlegen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten