NXLog DNS Logs-Connector für Microsoft Sentinel
Der NXLog DNS Logs-Datenconnector verwendet die Ereignisablaufverfolgung für Windows (ETW), um sowohl Überwachungs- als auch analytische DNS-Serverereignisse zu erfassen. Um maximale Effizienz zu erzielen, liest das NXLog-Modul im_etw Ereignisablaufverfolgungsdaten direkt, ohne die Ereignisablaufverfolgung in einer ETL-Datei erfassen zu müssen. Dieser REST-API-Connector kann DNS-Serverereignisse in Echtzeit an Microsoft Sentinel weiterleiten.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | NXLog_DNS_Server_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | NXLog |
Abfragebeispiele
DNS-Server Top 5 Hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS-Server Top 5 EventOriginalTypes (Ereignis-IDs)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
DNS-Server Analyseereignisse pro Sekunde (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Installationsanweisungen des Anbieters
Hinweis
Die erwartungsgemäße Funktion dieses Datenconnectors hängt von Parsern ab, die auf Kusto-Funktionen basieren, die mit der Microsoft Sentinel-Lösung bereitgestellt werden. **ASimDnsMicrosoftNXLog ** ist darauf ausgelegt, die integrierten DNS-bezogenen Analysefunktionen von Microsoft Sentinel zu nutzen.
Befolgen Sie die Schrittanleitungen im NXLog-Benutzerhandbuch im Thema zur Integration von Microsoft Sentinel, um diesen Connector zu konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.