NXLog DNS-naplók összekötője a Microsoft Sentinelhez
Az NXLog DNS-naplók adatösszekötője az Event Tracing for Windows (ETW) használatával gyűjti a naplózási és az elemzési DNS-kiszolgáló eseményeit. Az NXLog im_etw modul közvetlenül beolvassa az eseménykövetési adatokat a maximális hatékonyság érdekében anélkül, hogy az eseménykövetést .etl-fájlba kellene rögzítenie. Ez a REST API-összekötő valós időben továbbítja a DNS-kiszolgáló eseményeit a Microsoft Sentinelnek.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | NXLog_DNS_Server_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | NXLog |
Példák lekérdezésekre
A DNS Server első 5 gazdagépkeresete
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS Server Top 5 EventOriginalTypes (Eseményazonosítók)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
DNS-kiszolgálói elemzési események másodpercenként (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Szállító telepítési útmutatója
Feljegyzés
Ez az adatösszekötő a Microsoft Sentinel-megoldással üzembe helyezett Kusto-függvényeken alapuló elemzőktől függ, hogy a várt módon működjön. Az **ASimDnsMicrosoftNXLog ** a Microsoft Sentinel beépített DNS-elemzési képességeinek kihasználására készült.
Az összekötő konfigurálásához kövesse a Microsoft Sentinel NXLog felhasználói útmutatójának integrációs témakörében található részletes utasításokat.