موصل سجلات DNS NXLog ل Microsoft Sentinel
يستخدم موصل بيانات سجلات DNS NXLog تتبع الأحداث ل Windows (ETW) لجمع أحداث خادم DNS التحليلي والتدقيق. تقرأ الوحدة النمطية NXLog im_etw بيانات تتبع الأحداث مباشرة لتحقيق أقصى قدر من الكفاءة، دون الحاجة إلى تسجيل تتبع الحدث في ملف .etl. يمكن لموصل REST API هذا إعادة توجيه أحداث خادم DNS إلى Microsoft Sentinel في الوقت الفعلي.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
سمة الموصل | الوصف |
---|---|
جدول (جداول) Log Analytics | NXLog_DNS_Server_CL |
دعم قواعد جمع البيانات | غير مدعوم حاليًا |
مدعومة من قبل | NXLog |
عينات الاستعلام
أفضل 5 مضيفين لخادم DNS
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS Server Top 5 EventOriginalTypes (معرفات الأحداث)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
الأحداث التحليلية لخادم DNS في الثانية (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
إرشادات تثبيت المورد
إشعار
يعتمد موصل البيانات هذا على المحللات استنادا إلى وظائف Kusto المنشورة مع حل Microsoft Sentinel للعمل كما هو متوقع. تم تصميم **ASimDnsMicrosoftNXLog ** للاستفادة من قدرات التحليلات المضمنة المتعلقة ب DNS في Microsoft Sentinel.
اتبع الإرشادات المفصلة خطوة بخطوة في موضوع تكامل دليل مستخدم NXLog Microsoft Sentinel لتكوين هذا الموصل.