Microsoft SQL Server-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Microsoft SQL Server-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet sowohl strukturierte (JSON, Schlüssel/Wert-Paare) als auch semistrukturierte (Syslog) Microsoft SQL Server-Logs. Sie extrahiert Felder, normalisiert Zeitstempel, verarbeitet verschiedene Logformate basierend auf SourceModuleType- und Message-Inhalten (einschließlich Audit-, Anmelde- und Datenbankereignissen) und ordnet sie dem UDM zu. Außerdem wird eine spezielle Parsing-Logik für Audit-Datensätze, Anmeldeversuche und Datenbankvorgänge ausgeführt, um die Daten mit zusätzlichen Kontext- und Schweregradinformationen anzureichern.SQL Server-Audit- und Fehlerprotokolle werden über einen Syslog-Forwarder (NXLog) aus dem Windows-Ereignisprotokoll erfasst und an den BindPlane-Agent gesendet, damit sie an Google SecOps übermittelt werden.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein Host mit Windows Server 2016 oder höher, auf dem Microsoft SQL Server ausgeführt wird
  • Administratorzugriff zum Installieren und Konfigurieren von BindPlane Agent und NXLog
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Unter Windows befindet es sich in der Regel im Verzeichnis `C:\Program Files\observIQ\bindplane-agent`.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

      receivers:
  udplog:
     # Replace the port and IP address as required
     listen_address: "0.0.0.0:1514"

  exporters:
  chronicle/chronicle_w_labels:
     compression: gzip
     # Adjust the path to the credentials file you downloaded in Step 1
     creds_file_path: '/path/to/ingestion-authentication-file.json'
     # Replace with your actual customer ID from Step 2
     customer_id: <YOUR_CUSTOMER_ID>
     endpoint: malachiteingestion-pa.googleapis.com
     # Add optional ingestion labels for better organization
     log_type: 'MICROSOFT_SQL'
     raw_log_field: body
     ingestion_labels:

  service:
  pipelines:
     logs/source0__chronicle_w_labels-0:
        receivers:
        - udplog
        exporters:
        - chronicle/chronicle_w_labels
    • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
    • Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
    • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

SQL Server-Prüfung im Windows-Ereignisprotokoll aktivieren

Sie können die SQL Server-Prüfung entweder über die SSMS-GUI (SQL Server Management Studio) oder mit T-SQL-Befehlen aktivieren. Wählen Sie die Option aus, die am besten zu Ihrer Umgebung passt.

Option 1: SQL Server-Prüfung über die SSMS-GUI aktivieren

Serverüberwachung in der Benutzeroberfläche von SQL Server Management Studio erstellen

  1. Öffnen Sie SQL Server Management Studio (SSMS) und stellen Sie eine Verbindung zu Ihrer SQL Server-Instanz her.
  2. Maximieren Sie im Object Explorer Ihre Serverinstanz.
  3. Maximieren Sie den Ordner Sicherheit.
  4. Klicken Sie mit der rechten Maustaste auf Audits und wählen Sie Neues Audit aus.
  5. Geben Sie im Dialogfeld Audit erstellen die folgenden Konfigurationsdetails an:
    • Name des Audits: Geben Sie ChronicleAudit ein.
    • Warteschlangendelay (in Millisekunden): Geben Sie 1000 ein.
    • Bei Audit-Log-Fehler: Wählen Sie Weiter aus.
    • Auditziel: Wählen Sie Anwendungsprotokoll aus.
  6. Klicken Sie auf OK, um den Audit zu erstellen.
  7. Klicken Sie im Object Explorer mit der rechten Maustaste auf die neu erstellte ChronicleAudit und wählen Sie Enable Audit (Überwachung aktivieren) aus.

Audit-Spezifikation für Server über die SSMS-GUI erstellen

  1. Maximieren Sie im Object Explorer die Option Sicherheit.
  2. Klicken Sie mit der rechten Maustaste auf Server Audit Specifications (Audit-Spezifikationen für Server) und wählen Sie New Server Audit Specification (Neue Audit-Spezifikation für Server) aus.
  3. Geben Sie im Dialogfeld Server-Überwachungsspezifikation erstellen die folgenden Konfigurationsdetails an:
    • Name: Geben Sie ChronicleAuditSpec ein.
    • Prüfung: Wählen Sie im Menü ChronicleAudit aus.
  4. Klicken Sie im Bereich Audit Action Type (Audit-Aktionstyp) auf Add (Hinzufügen) und wählen Sie die folgenden Audit-Aktionsgruppen aus. Klicken Sie nach jeder Auswahl auf Add (Hinzufügen):
    • FAILED_LOGIN_GROUP
    • SUCCESSFUL_LOGIN_GROUP
    • LOGOUT_GROUP
    • SERVER_ROLE_MEMBER_CHANGE_GROUP
    • DATABASE_OBJECT_CHANGE_GROUP
    • DATABASE_PRINCIPAL_CHANGE_GROUP
    • SCHEMA_OBJECT_CHANGE_GROUP
    • DATABASE_PERMISSION_CHANGE_GROUP
  5. Klicken Sie auf OK, um die Prüfspezifikation zu erstellen.
  6. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf die neu erstellte ChronicleAuditSpec und wählen Sie Server-Auditspezifikation aktivieren aus.

Prüfungskonfiguration prüfen

  1. Maximieren Sie im Object Explorer die Option Sicherheit > Überwachungen.
  2. Klicken Sie mit der rechten Maustaste auf ChronicleAudit und wählen Sie Properties (Eigenschaften) aus.
  3. Prüfen Sie, ob der Status als Gestartet oder Aktiviert angezeigt wird.
  4. Maximieren Sie Sicherheit > Server Audit Specifications (Sicherheitsprüfungsspezifikationen für Server).
  5. Klicken Sie mit der rechten Maustaste auf ChronicleAuditSpec und wählen Sie Properties (Eigenschaften) aus.
  6. Prüfen Sie, ob alle acht Audit-Aktionsgruppen aufgeführt sind und die Spezifikation aktiviert ist.

Option 2: SQL Server-Audit mit T-SQL aktivieren

  1. Öffnen Sie SQL Server Management Studio (SSMS) und stellen Sie eine Verbindung zu Ihrer SQL Server-Instanz her.

  2. Führen Sie die folgenden T-SQL-Befehle aus, um ein Serveraudit zu erstellen, das in das Windows-Anwendungsprotokoll schreibt:

    USE master;
GO

CREATE SERVER AUDIT ChronicleAudit
TO APPLICATION_LOG
WITH (QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE);
GO

ALTER SERVER AUDIT ChronicleAudit WITH (STATE = ON);
GO

  3. Erstellen Sie eine Auditspezifikation, um relevante Sicherheitsereignisse zu erfassen:

    CREATE SERVER AUDIT SPECIFICATION ChronicleAuditSpec
FOR SERVER AUDIT ChronicleAudit
ADD (FAILED_LOGIN_GROUP),
ADD (SUCCESSFUL_LOGIN_GROUP),
ADD (LOGOUT_GROUP),
ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP),
ADD (DATABASE_OBJECT_CHANGE_GROUP),
ADD (DATABASE_PRINCIPAL_CHANGE_GROUP),
ADD (SCHEMA_OBJECT_CHANGE_GROUP),
ADD (DATABASE_PERMISSION_CHANGE_GROUP);
GO

ALTER SERVER AUDIT SPECIFICATION ChronicleAuditSpec WITH (STATE = ON);
GO

Durch diese Konfiguration wird sichergestellt, dass Authentifizierungsereignisse, Berechtigungsänderungen und Objektänderungen im Windows-Ereignislog protokolliert werden.

NXLog installieren und konfigurieren, um Ereignisse an BindPlane weiterzuleiten

  1. Laden Sie die NXLog Community Edition von nxlog.co/downloads herunter.
  2. Öffnen Sie das Installationsprogramm und führen Sie den Installationsassistenten aus.

  3. Öffnen Sie die NXLog-Konfigurationsdatei unter:

    C:\Program Files\nxlog\conf\nxlog.conf

  4. Ersetzen Sie den Inhalt durch die folgende Konfiguration:

    define ROOT C:\Program Files\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension _json>
   Module      xm_json
</Extension>

<Input in_eventlog>
   Module      im_msvistalog
   Query       <QueryList>\
                  <Query Id="0">\
                        <Select Path="Application">*[System[Provider[@Name='MSSQLSERVER']]]</Select>\
                  </Query>\
               </QueryList>
</Input>

<Output out_syslog>
   Module      om_udp
   Host        127.0.0.1
   Port        1514
   Exec        to_json();
</Output>

<Route r1>
   Path        in_eventlog => out_syslog
</Route>
    • Ersetzen Sie den aktuellen Wert 127.0.0.1 von Host durch die IP-Adresse des Bindplane-Agents.
    • Der Wert für Port muss mit dem zuvor konfigurierten Bindplane-Empfängerport udplog übereinstimmen.

  5. Speichern Sie die Datei und starten Sie den NXLog-Dienst neu:

    net stop nxlog && net start nxlog

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AccountName principal.user.userid Wird für principal.user.userid verwendet, wenn es in Logs wie „Datenbank wird gestartet“ oder „Log wurde gesichert“ vorhanden ist.
AgentDevice additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „AgentDevice“ hinzugefügt.
AgentLogFile additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „AgentLogFile“ hinzugefügt.
agent.hostname observer.asset.hostname Wird dem Hostnamen des Beobachters zugeordnet.
agent.id observer.asset_id Mit agent.type verkettet, um observer.asset_id zu bilden.
agent.type observer.asset_id Mit agent.id verkettet, um observer.asset_id zu bilden.
agent.version observer.platform_version Entspricht der Version der Beobachterplattform.
ApplicationName principal.application Wird der Hauptanwendung zugeordnet.
application_name target.application Wird der Zielanwendung zugeordnet.
client_address principal.ip Wird für die primäre IP-Adresse verwendet, wenn sie sich vom Host unterscheidet und nicht lokal oder eine Named Pipe ist.
client_ip principal.ip Wird der IP-Adresse des Prinzipals zugeordnet.
computer_name about.hostname Entspricht „about hostname“.
correlationId security_result.detection_fields Wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „correlationId“ hinzugefügt.
Date metadata.event_timestamp Wird mit Time kombiniert, um den Ereigniszeitstempel zu erstellen.
database_name target.resource_ancestors.name Wird für den Namen des übergeordneten Elements der Zielressource verwendet, sofern in Audit-Logs vorhanden.
durationMs network.session_duration.seconds Von Millisekunden in Sekunden umgerechnet und zugeordnet.
ecs.version metadata.product_version Entspricht der Produktversion.
error security_result.detection_fields Wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „error“ hinzugefügt.
err_msg security_result.description Wird der Beschreibung des Sicherheitsergebnisses zugeordnet.
EventID metadata.product_event_type Wird verwendet, um den Produktereignistyp zu erstellen, wenn andere Felder nicht verfügbar sind. Das Präfix lautet „EventID: “.
event.action Source Wird als Quelle verwendet, falls vorhanden.
event.code metadata.product_event_type Kombiniert mit event.provider, um metadata.product_event_type zu bilden.
event.provider metadata.product_event_type Kombiniert mit event.code, um metadata.product_event_type zu bilden.
EventReceivedTime metadata.ingested_timestamp Wird geparst und als Zeitstempel für die Aufnahme verwendet.
event_time metadata.event_timestamp Wird als Ereigniszeitstempel geparst und verwendet.
file_name principal.process.file.full_path Wird dem vollständigen Pfad der Hauptprozessdatei zugeordnet.
file_path target.file.full_path Wird für den vollständigen Pfad der Zieldatei verwendet, wenn er in Sicherungsprotokollen gefunden wird.
first_lsn target.resource.attribute.labels Wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „First LSN“ hinzugefügt.
host principal.hostname, observer.hostname Wird für den Hostnamen des Hauptkontos oder Beobachters verwendet, wenn es sich nicht um eine IP-Adresse handelt. Wird auch für den Zielhostnamen oder die Ziel-IP verwendet, je nachdem, ob es sich um eine IP handelt oder nicht.
host.ip principal.ip Mit der primären IP-Adresse zusammengeführt.
host.name host Wird als Host verwendet, sofern vorhanden.
Hostname principal.hostname, target.hostname Wird für den Prinzipal- oder Zielhostnamen verwendet, sofern vorhanden.
hostinfo.architecture principal.asset.hardware.cpu_platform Entspricht der CPU-Plattform der primären Asset-Hardware.
hostinfo.os.build additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „os_build“ hinzugefügt.
hostinfo.os.kernel principal.platform_patch_level Entspricht dem Patch-Level der Hauptplattform.
hostinfo.os.name additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „os_name“ hinzugefügt.
hostinfo.os.platform principal.platform In Großbuchstaben und der Hauptplattform zugeordnet.
hostinfo.os.version principal.platform_version Entspricht der Hauptplattformversion.
last_lsn target.resource.attribute.labels Wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „Last LSN“ hinzugefügt.
level security_result.severity Wenn „Informational“, wird security_result.severity auf „INFORMATIONAL“ gesetzt.
log.level security_result.severity_details Ordnet Schweregraden von Sicherheitsergebnissen Details zu.
LoginName principal.user.userid Wird für die Hauptnutzer-ID verwendet, sofern in KV-Logs vorhanden.
login_result security_result.action Bestimmt die Aktion für das Sicherheitsergebnis (ALLOW oder BLOCK).
logon_user principal.user.userid Wird für die primäre Nutzer-ID verwendet, sofern sie in Anmeldeprotokollen vorhanden ist.
logstash.process.host intermediary.hostname Wird dem Hostnamen des Vermittlers zugeordnet.
Message metadata.description, security_result.description Wird je nach Protokolltyp für die Ereignisbeschreibung oder die Beschreibung des Sicherheitsergebnisses verwendet.
msg metadata.description Wird für die Ereignisbeschreibung verwendet, falls vorhanden.
ObjectName target.resource.name Wird dem Namen der Zielressource zugeordnet.
object_name target.resource.name Wird für den Namen der Zielressource verwendet, sofern in Audit-Logs vorhanden.
ObjectType target.resource.type Wird dem Typ der Zielressource zugeordnet.
operationId security_result.detection_fields Wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „operationId“ hinzugefügt.
operationName metadata.product_event_type Wird dem Produktereignistyp zugeordnet.
operationVersion additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „operationVersion“ hinzugefügt.
ProcessInfo additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „ProcessInfo“ hinzugefügt.
properties.apiVersion metadata.product_version Entspricht der Produktversion.
properties.appId target.resource.product_object_id Wird der Produktobjekt-ID der Zielressource zugeordnet.
properties.clientAuthMethod extensions.auth.auth_details Wird verwendet, um Authentifizierungsdetails zu ermitteln.
properties.clientRequestId additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „clientRequestId“ hinzugefügt.
properties.durationMs network.session_duration.seconds In Sekunden umgerechnet und zugeordnet.
properties.identityProvider security_result.detection_fields Wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „identityProvider“ hinzugefügt.
properties.ipAddress principal.ip, principal.asset.ip Nach IP-Adressen analysiert und in die primäre IP-Adresse und die primäre Asset-IP-Adresse zusammengeführt.
properties.location principal.location.name Wird dem Namen des Hauptstandorts zugeordnet.
properties.operationId security_result.detection_fields Wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „operationId“ hinzugefügt.
properties.requestId metadata.product_log_id Entspricht der Produktprotokoll-ID.
properties.requestMethod network.http.method Wird der HTTP-Methode des Netzwerks zugeordnet.
properties.requestUri target.url Wird der Ziel-URL zugeordnet.
properties.responseSizeBytes network.received_bytes In eine vorzeichenlose Ganzzahl konvertiert und zugeordnet.
properties.responseStatusCode network.http.response_code In eine Ganzzahl umgewandelt und zugeordnet.
properties.roles additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „roles“ hinzugefügt.
properties.servicePrincipalId principal.user.userid Wird für die Hauptnutzer-ID verwendet, wenn properties.userId nicht vorhanden ist.
properties.signInActivityId network.session_id Wird der Netzwerk-Sitzungs-ID zugeordnet.
properties.tenantId metadata.product_deployment_id Entspricht der ID der Produktbereitstellung.
properties.tokenIssuedAt additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „tokenIssuedAt“ hinzugefügt.
properties.userAgent network.http.user_agent Entspricht dem HTTP-User-Agent des Netzwerks.
properties.userId principal.user.userid Wird für die Hauptnutzer-ID verwendet, falls vorhanden.
properties.wids security_result.detection_fields Wird als Schlüssel/Wert-Paar zu security_result.detection_fields mit dem Schlüssel „wids“ hinzugefügt.
reason security_result.summary Wird für die Zusammenfassung der Sicherheitsergebnisse bei Anmeldeereignissen verwendet.
resourceId target.resource.attribute.labels Wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „Resource ID“ hinzugefügt.
schema_name target.resource_ancestors.resource_subtype Wird für den übergeordneten Untertyp der Zielressource verwendet, sofern in Audit-Logs vorhanden.
security_result.description metadata.description Wird für die Ereignisbeschreibung verwendet, wenn es sich nicht um ein Prüfereignis handelt.
security_result.severity security_result.severity Wird direkt zugeordnet, sofern vorhanden. Wird für KV-Logs auf „LOW“ und für bestimmte Fehlermeldungen auf „INFORMATIONAL“ gesetzt und aus den Feldern level oder Severity abgeleitet.
security_result.severity_details security_result.severity_details Wird direkt zugeordnet, sofern vorhanden.
security_result.summary security_result.summary Wird direkt zugeordnet, sofern vorhanden. Auf „Connection made using Windows authentication“ (Verbindung über Windows-Authentifizierung hergestellt) oder bestimmte Gründe aus Anmeldeereignissen oder „SQL Server Audit Record“ (SQL Server-Audit-Datensatz) für Auditereignisse festgelegt.
security_result_action security_result.action Mit security_result.action zusammengeführt. Für die meisten Ereignisse auf „ALLOW“ festgelegt und für Anmeldeereignisse aus login_result abgeleitet.
server_instance_name target.hostname Wird für den Ziel-Hostname verwendet, sofern in Audit-Logs vorhanden.
server_principal_name principal.user.userid Wird für die Hauptnutzer-ID verwendet, sofern in Audit-Logs vorhanden.
server_principal_sid principal.asset_id Wird verwendet, um die ID des Haupt-Assets zu erstellen. Das Präfix lautet „server SID:“ (Server-SID:).
session_id network.session_id Wird für die Netzwerk-Sitzungs-ID verwendet, sofern sie in Audit-Logs vorhanden ist.
sev security_result.severity Wird verwendet, um den Schweregrad des Sicherheitsergebnisses zu bestimmen.
Severity security_result.severity Wird verwendet, um den Schweregrad des Sicherheitsergebnisses zu bestimmen.
Source additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „Source“ hinzugefügt.
source principal.resource.attribute.labels Wird als Schlüssel/Wert-Paar zu principal.resource.attribute.labels mit dem Schlüssel „source“ hinzugefügt.
SourceModuleType observer.application Entspricht der Observer-Anwendung.
SourceModuleName additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields mit dem Schlüssel „SourceModuleName“ hinzugefügt.
source_module_name observer.labels Wird als Schlüssel/Wert-Paar zu observer.labels mit dem Schlüssel „SourceModuleName“ hinzugefügt.
source_module_type observer.application Entspricht der Observer-Anwendung.
SPID network.session_id Wird der Netzwerk-Sitzungs-ID zugeordnet.
statement target.process.command_line Wird für die Befehlszeile des Zielprozesses verwendet, sofern in Audit-Logs vorhanden.
TextData security_result.description, metadata.description Wird für die Beschreibung des Sicherheitsergebnisses verwendet, wenn es sich nicht um ein Anmeldeereignis handelt, oder für die Ereignisbeschreibung, wenn es sich um ein Anmeldeereignis handelt.
time metadata.event_timestamp Wird als Ereigniszeitstempel geparst und verwendet.
Time metadata.event_timestamp Wird mit Date kombiniert, um den Ereigniszeitstempel zu erstellen.
transaction_id target.resource.attribute.labels Wird als Schlüssel/Wert-Paar zu target.resource.attribute.labels mit dem Schlüssel „transaction_id“ hinzugefügt.
UserID principal.user.windows_sid Wird für die Windows-Sicherheits-ID des Hauptnutzers verwendet, sofern vorhanden und im richtigen Format.
user_id principal.user.userid Wird für die Hauptnutzer-ID verwendet, falls vorhanden.
metadata.log_type metadata.log_type Fest codiert auf „MICROSOFT_SQL“.
metadata.vendor_name metadata.vendor_name Fest codiert auf „Microsoft“.
metadata.product_name metadata.product_name Fest codiert auf „SQL Server“.
metadata.event_type metadata.event_type Kann je nach Protokollinhalt auf verschiedene Werte festgelegt werden, darunter „USER_LOGIN“, „USER_LOGOUT“, „STATUS_STARTUP“, „STATUS_SHUTDOWN“, „NETWORK_HTTP“, „GENERIC_EVENT“ und standardmäßig „STATUS_UNCATEGORIZED“.
extensions.auth.type extensions.auth.type Für An- und Abmeldeereignisse auf „MACHINE“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten