Share via

جمع رؤى حول البنية الأساسية ل DNS باستخدام حل معاينة DNS Analytics

  • مقالة

رمز تحليلات DNS.

توضح هذه المقالة كيفية إعداد واستخدام الحل Azure DNS Analytics في Azure Monitor لجمع رؤى حول البنية الأساسية لـ DNS على الأمان والأداء والعمليات.

تساعدك DNS Analytics على:

  • التعرف على العملاء الذين يحاولون حل أسماء المجالات الضارة.
  • تعريف سجلات الموارد التي لا معنى لها.
  • تحديد أسماء المجالات التي يتم الاستعلام عنها بشكل متكرر وعملاء DNS الذاخرين بالكلام.
  • عرض تحميل الطلب على خادم DNS.
  • عرض فشل تسجيل DNS الديناميكي.

يجمع الحل ويحلل ويربط بين السجلات التحليلية والتدقيقية لـ Windows DNS والبيانات الأخرى ذات الصلة من خوادم DNS.

هام

سيتم إيقاف عامل Log Analytics في 31 أغسطس 2024. إذا كنت تستخدم عامل Log Analytics في نشر Microsoft Sentinel، نوصي بالبدء في التخطيط لترحيلك إلى عامل Azure Monitor. لمزيد من المعلومات، راجع ترحيل عامل Azure Monitor ل Microsoft Sentinel.

المصادر المتصلة

يصف الجدول التالي المصادر المتصلة التي يدعمها هذا الحل:

مصدر متصل الدعم الوصف
عوامل Windows نعم يجمع الحل معلومات DNS من وكلاء Windows.
عوامل Linux لا لا يجمع الحل معلومات DNS من وكلاء Linux المباشرين.
مجموعة إدارة عمليات مركز النظام نعم يجمع الحل معلومات DNS من العوامل في مجموعة إدارة "Operations Manager" المتصلة. لا يلزم وجود اتصال مباشر من عامل Operations Manager إلى Azure Monitor. تتم إعادة توجيه بيانات السجل من مجموعة الإدارة إلى مساحة عمل Log Analytics.
حساب Azure Storage لا لا يستخدم الحل Azure Storage.

تفاصيل جمع البيانات

يقوم الحل بتجميع مخزون DNS وبيانات DNS المتعلقة بالحدث من خوادم DNS حيث يتم تثبيت عامل Log Analytics. ثم يتم تحميل هذه البيانات إلى Azure Monitor وعرضها في لوحة معلومات الحل. يتم تجميع البيانات المتعلقة بالمخزون، مثل عدد خوادم DNS والمناطق وسجلات الموارد، عن طريق تشغيل cmdlets PowerShell DNS. يتم تحديث البيانات مرة كل يومين. يتم جمع البيانات المتعلقة بالحدث في الوقت الحقيقي القريب من سجلات التحليل والتدقيق التي توفرها تسجيل DNS المحسنة والتشخيص في Windows Server 2012 R2.

التكوين

استخدم المعلومات التالية لتكوين الحل:

يبدأ الحل في جمع البيانات دون الحاجة إلى مزيد من التكوين. ومع ذلك، يمكنك استخدام التكوين التالي لتخصيص مجموعة البيانات.

تكوين الحل

من مساحة عمل Log Analytics في مدخل Microsoft Azure، حدد Workspace summary (مهمل). ثم حدد تجانب DNS Analytics . في لوحة معلومات الحل، حدد التكوين لفتح صفحة تكوين تحليلات DNS . هناك نوعان من تغييرات التكوين التي يمكنك القيام بها:

  • أسماء المجالات المدرجة في القائمة المسموح بها: لا يعالج الحل جميع استعلامات البحث. يحتفظ قائمة السماح لاحقات اسم المجال. لا تتم معالجة استعلامات البحث التي يتم حلها إلى أسماء المجالات التي تطابق لاحقات اسم المجال في قائمة السماح هذه بواسطة الحل. يساعد عدم معالجة أسماء النطاقات المدرجة في القائمة على تحسين البيانات المرسلة إلى Azure Monitor. تتضمن قائمة السماح الافتراضية أسماء المجالات العامة الشائعة، مثل www.google.com و www.facebook.com . يمكنك عرض القائمة الافتراضية الكاملة بالتمرير.

    يمكنك تعديل القائمة لإضافة أي لاحقة اسم المجال التي تريد عرض رؤى البحث عنها. يمكنك أيضاً إزالة أي لاحقة اسم نطاق لا تريد عرض رؤى البحث عنها.

  • حد العميل الحديث: يتم تمييز عملاء DNS الذين يتجاوزون حد عدد طلبات البحث في جزء عملاء DNS . الحد الافتراضي هو 1000. يمكنك تحرير العتبة.

    لقطة شاشة تعرض أسماء المجالات المسموح بها.

حزم الإدارة

إذا كنت تستخدم Microsoft Monitoring Agent للاتصال بمساحة عمل Log Analytics، يتم تثبيت حزمة الإدارة التالية:

  • حزمة Microsoft DNS Data Collector Intelligence (Microsoft.IntelligencePacks.Dns)

إذا كانت مجموعة Operations Manager متصلة بمساحة عمل Log Analytics، يتم تثبيت حزم الإدارة التالية في "إدارة العمليات" عند إضافتك لهذا الحل. لا يوجد تكوين أو صيانة مطلوبة لحزم الإدارة هذه:

  • حزمة Microsoft DNS Data Collector Intelligence (Microsoft.IntelligencePacks.Dns)
  • تكوين DNS Analytics الخاص بـ Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)

لمزيد من المعلومات حول كيفية تحديث حزم إدارة الحلول، راجع اتصال Operations Manager بـ Log Analytics.

استخدام حل DNS Analytics

تتوفر البيانات التي تم جمعها بواسطة حل المراقبة هذا في صفحة ملخص مساحة العمل (مهمل) في مدخل Microsoft Azure. افتح هذه الصفحة من مساحات عمل Log Analytics لمساحة العمل باستخدام الحل الخاص بك ثم حدد ملخص مساحة العمل (مهمل) من القسم الكلاسيكي من القائمة. يتم تمثيل كل حل بواسطة تجانب. حدد لوحة للحصول على بيانات أكثر تفصيلا تم جمعها بواسطة هذا الحل.

يتضمن الإطار المتجانب DNS عدد خوادم DNS حيث يتم تجميع البيانات. كما يتضمن عدد الطلبات التي قام بها العملاء لحل المجالات الضارة في الساعات الـ 24 الماضية. عند تحديد لوحة، يتم فتح لوحة معلومات الحل.

لقطة شاشة تعرض تجانب DNS Analytics.

لوحة معلومات الحل

تعرض لوحة معلومات الحل معلومات ملخصة لمختلف ميزات الحل. كما يتضمن وصلات إلى وجهة النظر التفصيلية لتحليل الطب الشرعي والتشخيص. بشكل افتراضي، يتم عرض البيانات للأيام السبعة الأخيرة. يمكنك تغيير نطاق التاريخ والوقت باستخدام عنصر تحكم تحديد الوقت والتاريخ، كما هو موضح في الصورة التالية:

لقطة شاشة تعرض عنصر تحكم تحديد الوقت.

تعرض لوحة معلومات الحل الأقسام التالية:

أمان DNS: يبلغ عملاء DNS الذين يحاولون الاتصال بالمجالات الضارة. باستخدام موجز معلومات التهديد من Microsoft، يمكن لـ DNS Analytics الكشف عن برامج عناوين IP العميلة التي تحاول الوصول إلى المجالات الضارة. في كثير من الحالات، الأجهزة المصابة بالبرامج الضارة "الطلب" إلى مركز "القيادة والتحكم" من المجال الخبيث عن طريق حل اسم المجال البرمجيات الخبيثة.

لقطة شاشة تعرض قسم أمان DNS.

عند تحديد عنوان IP للعميل في القائمة، يفتح بحث السجل ويعرض تفاصيل البحث للاستعلام المعني. في المثال التالي، كشف تحليل DNS أن الاتصال تم باستخدام IRCbot:

لقطة شاشة تعرض نتائج بحث السجل التي تظهر ircbot.

تساعدك المعلومات على تحديد:

  • IP العميل الذي بدأ الاتصال.
  • اسم المجال الذي يحل إلى IP الضارة.
  • عناوين IP التي يحل اسم المجال إليها.
  • عنوان IP ضار.
  • شدة المشكلة.
  • سبب حظر IP الضارة.
  • وقت الكشف.

المجالات التي يتم الاستعلام عنها: توفر أسماء المجالات الأكثر تكرارا التي يتم الاستعلام عليها من قبل عملاء DNS في بيئتك. يمكنك عرض قائمة جميع أسماء النطاقات التي تم الاستعلام عنها. يمكنك أيضا التنقل لأسفل في تفاصيل طلب البحث لاسم مجال معين في بحث السجل.

لقطة شاشة تعرض قسم المجالات التي تم الاستعلام عنها.

عملاء DNS: يبلغ العملاء الذين ينتهكون حد عدد الاستعلامات في الفترة الزمنية المختارة. يمكنك عرض قائمة بجميع عملاء DNS وتفاصيل الاستعلامات التي تم إجراؤها بواسطةهم في Log Search.

لقطة شاشة تعرض قسم عملاء DNS.

تسجيلات DNS الديناميكية: تقارير فشل تسجيل الاسم. يتم تمييز جميع حالات فشل التسجيل لسجلات مورد العنوان (نوع A وAAA) مع عناوين IP للعملاء الذين قاموا بطلب التسجيل. يمكنك بعد ذلك استخدام هذه المعلومات للبحث عن السبب الجذري لفشل التسجيل باتباع الخطوات التالية:

  1. ابحث عن المنطقة الموثوق بها للاسم الذي يحاول العميل تحديثه.

  2. استخدم الحل للتحقق من معلومات المخزون الخاصة بتلك المنطقة.

  3. تحقق من تمكين التحديث الحيوي للمنطقة.

  4. تحقق ما إذا تم تكوين المنطقة للتحديث الحيوي الآمن أم لا.

    لقطة شاشة تعرض قسم تسجيلات DNS الديناميكية.

طلبات تسجيل الاسم: تعرض اللوحة العلوية خط اتجاه لطلبات التحديث الديناميكي DNS الناجحة والفشلة. يسرد الإطار المتجانب السفلي العملاء (10) العشرة الأوائل الذين يقومون بإرسال طلبات تحديث DNS الفاشلة إلى خوادم DNS، مرتبة حسب عدد حالات الفشل.

لقطة شاشة تعرض قسم طلبات تسجيل الاسم.

نموذج استعلامات تحليلات DDI: يحتوي على قائمة استعلامات البحث الأكثر شيوعا التي تجلب بيانات التحليلات الأولية مباشرة.

لقطة شاشة تعرض استعلامات العينة.

يمكنك استخدام هذه الاستعلامات كنقطة بداية لإنشاء الاستعلامات الخاصة بك للإبلاغ المخصص. ارتباط الاستعلامات إلى صفحة بحث سجل تحليلات DNS حيث يتم عرض النتائج:

  • قائمة خوادم DNS: تعرض قائمة بجميع خوادم DNS مع FQDN المقترنة بها واسم المجال واسم الغابة وIPs للخادم.

  • قائمة مناطق DNS: تعرض قائمة بجميع مناطق DNS مع اسم المنطقة المقترنة وحالة التحديث الديناميكي وخوادم الأسماء وحالة توقيع DNSSEC.

  • سجلات الموارد غير المستخدمة: تعرض قائمة بجميع سجلات الموارد غير المستخدمة/القديمة. تحتوي هذه القائمة على اسم سجل المورد ونوع سجل المورد وخادم DNS المقترن ووقت إنشاء السجل واسم المنطقة. يمكنك استخدام هذه القائمة لتعريف سجلات موارد DNS التي لم تعد قيد الاستخدام. استناداً إلى هذه المعلومات، يمكنك إزالة هذه الإدخالات من خوادم DNS.

  • تحميل استعلام خوادم DNS: يعرض المعلومات بحيث يمكنك الحصول على منظور لتحميل DNS على خوادم DNS. يمكن أن تساعدك هذه المعلومات على تخطيط سعة الخوادم. يمكنك الانتقال إلى علامة التبويب المقاييس لتغيير طريقة العرض إلى تصور رسومي. تساعدك طريقة العرض هذه على فهم كيفية توزيع تحميل DNS عبر خوادم DNS. يظهر اتجاهات معدل استعلام DNS لكل خادم.

    لقطة شاشة تعرض نتائج البحث في سجل استعلام خوادم DNS.

  • تحميل استعلام مناطق DNS: يعرض إحصائيات استعلام منطقة DNS في الثانية لجميع المناطق على خوادم DNS التي يديرها الحل. حدد علامة التبويب Metrics لتغيير طريقة العرض من سجلات مفصلة إلى تصور رسومي للنتائج.

  • أحداث التكوين: تعرض جميع أحداث تغيير تكوين DNS والرسائل المرتبطة بها. يمكنك بعد ذلك تصفية هذه الأحداث استناداً إلى وقت الحدث أو معرف الحدث أو خادم DNS أو فئة المهمة. يمكن أن تساعدك البيانات في تدوين التغييرات التي تم إجراؤها على خوادم DNS محددة في أوقات محددة.

  • سجل DNS التحليلي: يعرض جميع الأحداث التحليلية على جميع خوادم DNS التي يديرها الحل. يمكنك بعد ذلك تصفية هذه الأحداث استناداً إلى وقت الحدث معرف الحدث خادم DNS IP العميل الذي جعل استعلام البحث وفئة مهمة نوع الاستعلام. تمكين الأحداث التحليلية خادم DNS تعقب النشاط على خادم DNS. يتم تسجيل حدث تحليلي في كل مرة يرسل فيها الخادم معلومات DNS أو يتلقاها.

في صفحة بحث السجل ، يمكنك إنشاء استعلام. يمكنك تصفية نتائج البحث باستخدام عناصر تحكم الواجهة. يمكنك أيضاً إنشاء استعلامات متقدمة لتحويل النتائج وتصفيتها وإعداد تقرير عنها. ابدأ باستخدام الاستعلامات التالية:

  1. في مربع استعلام البحث، أدخل DnsEvents لعرض جميع أحداث DNS التي تم إنشاؤها بواسطة خوادم DNS التي يديرها الحل. تسرد النتائج بيانات السجل لجميع الأحداث المتعلقة باستعلامات البحث والتسجيلات الديناميكية وتغييرات التكوين.

    لقطة شاشة تعرض بحث سجل DnsEvents.

    1. لعرض بيانات السجل لاستعلامات البحث، حدد LookUpQuery كعامل تصفية النوع الفرعي من عنصر تحكم الوجه على اليسار. يظهر جدول يسرد جميع أحداث استعلام البحث للفترة الزمنية المحددة.

    2. لعرض بيانات السجل للتسجيلات الديناميكية، حدد DynamicRegistration كعامل تصفية النوع الفرعي من عنصر تحكم الوجه على اليسار. يظهر جدول يسرد جميع أحداث التسجيل الديناميكي للفترة الزمنية المحددة.

    3. لعرض بيانات السجل لتغييرات التكوين، حدد ConfigurationChange كعامل تصفية النوع الفرعي من عنصر تحكم الوجه على اليسار. يظهر جدول يسرد جميع أحداث تغيير التكوين للفترة الزمنية المحددة.

  2. في مربع استعلام البحث، أدخل DnsInventory لعرض جميع البيانات المتعلقة بمخزون DNS لخوادم DNS التي يديرها الحل. تسرد النتائج بيانات السجل لخوادم DNS ومناطق DNS وسجلات الموارد.

    لقطة شاشة تعرض بحث سجل DnsInventory.

استكشاف الأخطاء وإصلاحها

خطوات شائعة لاستكشاف الأخطاء وإصلاحها:

  • بيانات البحث عن DNS المفقودة: لاستكشاف هذه المشكلة وإصلاحها، حاول إعادة تعيين التكوين أو تحميل صفحة التكوين مرة واحدة في المدخل. لإعادة التعيين، قم بتغيير إعداد إلى قيمة أخرى، وقم بتغييره مرة أخرى إلى القيمة الأصلية، واحفظ التكوين.

الاقتراحات

لتقديم الملاحظات، راجع صفحة Log Analytics UserVoice لنشر أفكار لميزات DNS Analytics للعمل عليها.

الخطوات التالية

راجع سجلات الاستعلام لعرض سجلات سجل DNS التفصيلية.