SIEM/Log Management [SIEM/Log Managemet] Thu thập log MSSQL

Nguyễn Kim Khánh · 25/09/2025

I. MSSQL là gì?
MSSQL (Microsoft SQL Server) là một hệ quản trị cơ sở dữ liệu quan hệ (RDBMS) do Microsoft phát triển

Chức năng:
- Lưu trữ, quản lý và truy vấn dữ liệu theo mô hình quan hệ.
- Hỗ trợ ngôn ngữ truy vấn SQL (Structured Query Language).
Thành phần:
- Database Engine → lõi chính để xử lý lưu trữ, giao dịch và bảo mật dữ liệu.
- SQL Server Agent → thực thi tác vụ tự động (backup, job, schedule).
- Integration Services (SSIS) → ETL (trích xuất, biến đổi, nạp dữ liệu).
- Reporting Services (SSRS) → báo cáo.
- Analysis Services (SSAS) → phân tích dữ liệu (OLAP, Data Mining).
Ứng dụng thực tế:
- Hệ thống quản lý nhân sự, tài chính, bán hàng.
- Website và ứng dụng thương mại điện tử.
- Phân tích dữ liệu doanh nghiệp (BI).
Các phiên bản:
- Express (miễn phí, giới hạn tính năng).
- Standard / Enterprise (đầy đủ tính năng, dùng cho doanh nghiệp).

II. MSSQL cần thu thập những gì?
Thu thập log của MSSQL tức là lấy những
thông tin sự kiện mà Microsoft SQL Server sinh ra trong quá trình hoạt động. Các loại log chính của MSSQL mà bạn có thể thu thập gồm:

1. SQL Server Error Log (ERRORLOG)

Nằm trong thư mục:
C:\Program Files\Microsoft SQL Server\MSSQL16.<InstanceName>\MSSQL\Log\ERRORLOG
Nội dung:
- Quá trình khởi động, tắt dịch vụ MSSQL.
- Phiên đăng nhập (login success / login failed).
- Thông báo lỗi từ SQL Engine.
- Các sự kiện backup/restore, DBCC.
- Thông tin audit nếu được bật.

2. SQL Server Agent Log

Ghi lại hoạt động của SQL Server Agent (job, schedule).
Bao gồm:
- Job chạy thành công/thất bại.
- Lỗi trong khi chạy job.
- Lịch chạy tự động.

3. Windows Event Log (Application Log / Event Channel)

Khi MSSQL ghi sự kiện vào Windows Event Viewer (Application channel).
Ví dụ:
- Event ID 18456 → Login failed for user 'sa'.
- Event ID 17137 → SQL Server started.
- Event ID 25753 → Telemetry session started.
Đây là log quan trọng để phát hiện authentication failure, brute-force, hay SQL Service restart.

4. SQL Server Audit Log (nếu bật Audit)

Audit giúp giám sát chi tiết hơn:
- Ai đăng nhập vào database?
- Ai truy vấn bảng nào?
- Ai thay đổi cấu hình hệ thống?
Có thể log ra file .sqlaudit hoặc Windows Security Log.

II. Cấu hình để đẩy log:
Luồng hoạt động:
log MSSQL -> Wazuh agent-> Wazuh manager -> Vector-> Opensearch

Cài đặt SQL Server Database Engine + SQL Server Management Studio (SSMS)

Cấu hình C:\Program Files (x86)\ossec-agent\ossec.conf để log có thể đẩy về Wazuh manager

<!-- Log MSSQL →
#Thu log Database Engine
<localfile>
<log_format>eventchannel</log_format>
<location>Application</location>
<query><![CDATA[
*[System[Provider[@Name='MSSQLSERVER']]]
]]></query>
</localfile>

#Thu log SQL Audit
<localfile>
<log_format>eventchannel</log_format>
<location>Application</location>
<query><![CDATA[
*[System[Provider[@Name='MSSQLSERVER$AUDIT']]]
]]></query>
</localfile>

#Thu log SQL Agent
<localfile>
<log_format>eventchannel</log_format>
<location>Application</location>
<query><![CDATA[
*[System[Provider[@Name='SQLSERVERAGENT']]]
]]></query>
</localfile>

#Thu log Error Log file
<localfile>
<location>C:\Program Files\Microsoft SQL Server\MSSQL16.MSSQLSERVER\MSSQL\Log\ERRORLOG</location>
<log_format>syslog</log_format>
</localfile>

Sau khi cấu hình xong, lưu file và chạy test thử:

Thấy log khi phát hiện đăng nhập sai.

SIEM/Log Management [SIEM/Log Managemet] Thu thập log MSSQL

Nguyễn Kim Khánh

Intern

1. SQL Server Error Log (ERRORLOG)​

2. SQL Server Agent Log​

3. Windows Event Log (Application Log / Event Channel)​

4. SQL Server Audit Log (nếu bật Audit)​

1. SQL Server Error Log (ERRORLOG)

2. SQL Server Agent Log

3. Windows Event Log (Application Log / Event Channel)

4. SQL Server Audit Log (nếu bật Audit)