Connecteur Journaux DNS NXLog pour Microsoft Sentinel
Le connecteur de données NXLog DNS Logs utilise le suivi d’événements pour Windows (ETW) pour collecter les événements de serveur DNS d’audit et analytiques. Le module NXLog im_etwlit les données de suivi d’événements directement pour une efficacité maximale, sans avoir à capturer le suivi des événements dans un fichier .etl. Ce connecteur d’API REST peut transférer des événements de serveur DNS vers Microsoft Sentinel en temps réel.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | NXLog_DNS_Server_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | NXLog |
Exemples de requête
DNS Server top 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS Server Top 5 EventOriginalTypes (ID d’événement)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Événements analytiques de serveur DNS par seconde (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend des analyseurs basés sur les fonctions Kusto déployées avec la solution Microsoft Sentinel pour fonctionner comme prévu. **ASimDnsMicrosoftNXLog ** est conçu pour tirer parti des fonctionnalités d’analyse DNS intégrées de Microsoft Sentinel.
Suivez les instructions pas à pas du Guide de l’utilisateur NXLog, rubrique Intégration, Microsoft Sentinel pour configurer ce connecteur.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.