Mengumpulkan wawasan tentang infrastruktur DNS Anda dengan solusi pratinjau Dns Analytics

  • Artikel

Simbol Analitik DNS.

Artikel ini menjelaskan cara menyiapkan dan menggunakan solusi Azure DNS Analytics di Azure Monitor untuk mengumpulkan wawasan mengenai infrastruktur DNS tentang keamanan, performa, dan operasi.

DNS Analytics membantu Anda untuk:

  • Mengidentifikasi klien yang mencoba mengatasi nama domain berbahaya.
  • Mengidentifikasi rekaman sumber daya kedaluwarsa.
  • Mengidentifikasi nama domain yang sering dikuerikan dan klien DNS talkative.
  • Menampilkan beban permintaan di server DNS.
  • Menampilkan kegagalan pendaftaran DNS dinamis.

Solusi mengumpulkan, menganalisis, dan menghubungkan analitik DNS Windows dan log audit serta data terkait lainnya dari server DNS Anda.

Penting

Agen Log Analytics akan dihentikan pada 31 Agustus 2024. Jika Anda menggunakan agen Log Analytics dalam penyebaran Microsoft Azure Sentinel, kami sarankan Anda mulai merencanakan migrasi ke Agen Azure Monitor. Untuk informasi selengkapnya, lihat Migrasi Agen Azure Monitor untuk Microsoft Azure Sentinel.

Sumber yang tersambung

Tabel berikut ini menjelaskan sumber tersambung yang didukung oleh solusi ini:

Sumber yang tersambung Dukungan Deskripsi
Agen Windows Ya Solusi ini mengumpulkan informasi DNS dari agen Windows.
Agen Linux Tidak Solusinya tidak mengumpulkan informasi DNS dari agen Linux langsung.
Grup manajemen Manajer Operasi Pusat Sistem Ya Solusi ini mengumpulkan informasi DNS dari agen dalam grup manajemen Manajer Operasi yang tersambung. Koneksi langsung dari agen Manajer Operasi ke Azure Monitor tidak diperlukan. Data diteruskan dari grup manajemen ke ruang kerja Analitik Log.
Akun Azure Storage Tidak Azure Storage tidak digunakan oleh solusi.

Detail pengumpulan data

Solusi ini mengumpulkan inventaris DNS dan data terkait peristiwa DNS dari server DNS tempat agen Analitik Log dipasang. Data ini kemudian diunggah ke Azure Monitor dan ditampilkan di dasbor solusi. Data terkait inventaris, seperti jumlah server DNS, zona, dan catatan sumber daya, dikumpulkan dengan menjalankan cmdlet DNS PowerShell, dan data diperbarui setiap dua hari sekali. Data diperbarui setiap dua hari sekali. Data terkait peristiwa dikumpulkan hampir real time dari log analitik dan audit yang disediakan oleh pencatatan DNS dan diagnostik yang disempurnakan di Windows Server 2012 R2.

Konfigurasi

Gunakan informasi berikut untuk mengonfigurasi solusi:

Solusinya mulai mengumpulkan data tanpa perlu konfigurasi lebih lanjut. Namun, Anda bisa menggunakan konfigurasi berikut untuk menyesuaikan kumpulan data.

Mengonfigurasi solusi

Dari ruang kerja Analitik Log di portal Azure, pilih Ringkasan ruang kerja (tidak digunakan lagi). Lalu pilih petak peta DNS Analytics . Pada dasbor solusi, pilih Konfigurasi untuk membuka halaman Konfigurasi Analitik DNS . Ada dua jenis perubahan konfigurasi yang bisa Anda lakukan:

  • Nama Domain yang Diizinkan: Solusinya tidak memproses semua kueri pencarian. Ini mempertahankan daftar akhiran nama domain yang diizinkan. Kueri pencarian yang mengatasi nama domain yang cocok dengan akhiran nama domain dalam daftar izin ini tidak diproses oleh solusi. Tidak memproses nama domain yang diizinkan membantu mengoptimalkan data yang dikirim ke Azure Monitor. Daftar izin default menyertakan nama domain publik populer, seperti www.google.com dan www.facebook.com. Anda dapat melihat daftar default lengkap dengan menggulir.

    Anda dapat mengubah daftar untuk menambahkan akhiran nama domain yang ingin Anda tampilkan wawasan pencariannya. Anda juga dapat menghapus akhiran nama domain yang tidak ingin Anda lihat wawasan pencariannya.

  • Ambang Klien Talkative: Klien DNS yang melebihi ambang untuk jumlah permintaan pencarian disorot di panel Klien DNS . Ambang default adalah 1.000. Anda dapat mengedit ambang.

    Cuplikan layar yang memperlihatkan nama domain yang Diizinkan.

Paket manajemen

Jika Anda menggunakan Microsoft Monitoring Agent untuk menyambungkan ke ruang kerja Analitik Log, paket manajemen berikut ini diinstal:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Jika grup manajemen Operations Manager Anda tersambung ke ruang kerja Analitik Log, paket manajemen berikut ini diinstal di Operations Manager saat Anda menambahkan solusi ini. Tidak ada konfigurasi atau pemeliharaan paket manajemen ini yang diperlukan:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)

Untuk informasi selengkapnya tentang bagaimana paket manajemen solusi diperbarui, lihat Menyambungkan Manajer Operasi ke Analitik Log.

Menggunakan solusi DNS Analytics

Data yang dikumpulkan oleh solusi pemantauan ini tersedia di halaman Ringkasan Ruang Kerja (tidak digunakan lagi) di portal Azure. Buka halaman ini dari ruang kerja Analitik Log untuk ruang kerja dengan solusi Anda lalu pilih Ringkasan Ruang Kerja (tidak digunakan lagi) dari bagian Klasik pada menu. Setiap solusi diwakili oleh petak peta. Pilih petak peta untuk data yang lebih rinci yang dikumpulkan oleh solusi tersebut.

Ubin DNS menyertakan jumlah server DNS tempat data dikumpulkan. Ubin ini juga mencakup jumlah permintaan yang dibuat oleh klien untuk menyelesaikan domain berbahaya dalam 24 jam terakhir. Saat Anda memilih petak peta, dasbor solusi akan terbuka.

Cuplikan layar yang memperlihatkan petak peta DNS Analytics.

Dasbor solusi

Dasbor solusi memperlihatkan informasi yang dirangkum untuk berbagai fitur solusi. Ini juga termasuk tautan ke tampilan terperinci untuk analisis forensik dan diagnosis. Secara default, data diperlihatkan selama tujuh hari terakhir. Anda bisa mengubah rentang tanggal dan waktu menggunakan kontrol pemilihan tanggal waktu, seperti yang diperlihatkan dalam gambar berikut:

Cuplikan layar yang memperlihatkan kontrol pemilihan waktu.

Dasbor solusi memperlihatkan bagian berikut:

Keamanan DNS: Melaporkan klien DNS yang mencoba berkomunikasi dengan domain berbahaya. Dengan menggunakan umpan inteligensi ancaman, DNS Analytics dapat mendeteksi IP klien yang mencoba mengakses domain berbahaya. Dalam banyak kasus, perangkat yang terinfeksi malware "keluar" ke pusat "perintah dan kontrol" domain berbahaya dengan menyelesaikan nama domain malware.

Cuplikan layar yang memperlihatkan bagian Keamanan DNS.

Saat Anda memilih IP klien dalam daftar, Pencarian Log terbuka dan memperlihatkan detail pencarian dari kueri masing-masing. Dalam contoh berikut, DNS Analytics mendeteksi bahwa komunikasi dilakukan dengan IRCbot:

Cuplikan layar yang memperlihatkan hasil pencarian log yang memperlihatkan ircbot.

Informasi ini membantu Anda mengidentifikasi:

  • IP klien yang memulai komunikasi.
  • Nama domain yang mengatasi IP berbahaya.
  • Alamat IP yang diatasi oleh nama domain.
  • Alamat IP berbahaya.
  • Tingkat keparahan masalah.
  • Alasan untuk memblokir IP berbahaya.
  • Waktu deteksi.

Domain Yang Dikueri: Menyediakan nama domain yang paling sering dikueri oleh klien DNS di lingkungan Anda. Anda bisa menampilkan daftar semua nama domain yang dikueri. Anda juga dapat menelusuri detail permintaan pencarian dari nama domain tertentu di Pencarian Log.

Cuplikan layar yang memperlihatkan bagian Kueri Domain.

Klien DNS: Melaporkan klien yang melanggar ambang untuk jumlah kueri dalam periode waktu yang dipilih. Anda bisa menampilkan daftar semua klien DNS dan detail kueri yang dibuat oleh mereka di Pencarian Log.

Cuplikan layar yang memperlihatkan bagian Klien DNS.

Pendaftaran DNS Dinamis: Melaporkan kegagalan pendaftaran nama. Semua kegagalan pendaftaran untuk rekaman sumber daya alamat (Jenis A dan AAAA) disorot bersama dengan IP klien yang membuat permintaan pendaftaran. Anda kemudian dapat menggunakan informasi ini untuk menemukan akar penyebab kegagalan pendaftaran dengan mengikuti langkah-langkah berikut:

  1. Temukan zona yang otoritatif untuk nama yang coba diperbarui klien.

  2. Gunakan solusi untuk memeriksa informasi inventaris zona tersebut.

  3. Verifikasi pembaruan dinamis untuk zona diaktifkan.

  4. Periksa apakah zona dikonfigurasi untuk pembaruan dinamis aman atau tidak.

    Cuplikan layar yang memperlihatkan bagian Pendaftaran DNS Dinamis.

Permintaan pendaftaran nama: Petak peta atas menunjukkan garis tren permintaan pembaruan dinamis DNS yang berhasil dan gagal. Ubin bawah mencantumkan 10 klien teratas yang mengirim permintaan pembaruan DNS yang gagal ke server DNS, diurutkan berdasarkan jumlah kegagalan.

Cuplikan layar yang memperlihatkan bagian Permintaan pendaftaran nama.

Sampel Kueri DDI Analytics: Berisi daftar kueri pencarian paling umum yang mengambil data analitik mentah secara langsung.

Cuplikan layar yang memperlihatkan Kueri sampel.

Anda dapat menggunakan kueri ini sebagai titik awal untuk membuat kueri Anda sendiri untuk pelaporan yang disesuaikan. Tautan kueri ke halaman Pencarian Log Analitik DNS tempat hasil ditampilkan:

  • Daftar Server DNS: Menampilkan daftar semua server DNS dengan FQDN, nama domain, nama forest, dan IP server terkait.

  • Daftar Zona DNS: Memperlihatkan daftar semua zona DNS dengan nama zona terkait, status pembaruan dinamis, server nama, dan status penandatanganan DNSSEC.

  • Rekaman Sumber Daya yang Tidak Digunakan: Menampilkan daftar semua rekaman sumber daya yang tidak digunakan/kedaluarsa. Daftar ini berisi nama rekaman sumber daya, jenis rekaman sumber daya, server DNS terkait, waktu pembuatan rekaman, dan nama zona. Anda bisa menggunakan daftar ini untuk mengidentifikasi rekaman sumber daya DNS yang tidak lagi digunakan. Berdasarkan informasi ini, Anda kemudian dapat menghapus entri tersebut dari server DNS.

  • Beban Kueri Server DNS: Menampilkan informasi sehingga Anda bisa mendapatkan perspektif beban DNS di server DNS Anda. Informasi ini bisa membantu Anda merencanakan kapasitas untuk server. Anda bisa masuk ke tab Metrik untuk mengubah tampilan menjadi visualisasi grafis. Tampilan ini membantu Anda memahami bagaimana beban DNS didistribusikan di seluruh server DNS Anda. Ini memperlihatkan tren tingkat kueri DNS untuk setiap server.

    Cuplikan layar yang memperlihatkan hasil pencarian log kueri server DNS.

  • Beban Kueri Zona DNS: Memperlihatkan statistik zona DNS-query-per-detik dari semua zona di server DNS yang dikelola oleh solusi. Pilih tab Metrik untuk mengubah tampilan dari rekaman terperinci menjadi visualisasi grafis hasil.

  • Peristiwa Konfigurasi: Menampilkan semua peristiwa perubahan konfigurasi DNS dan pesan terkait. Anda kemudian dapat memfilter peristiwa ini berdasarkan waktu peristiwa, ID peristiwa, server DNS, atau kategori tugas. Data dapat membantu Anda mengaudit perubahan yang dilakukan pada server DNS tertentu pada waktu tertentu.

  • Log Analitik DNS: Menampilkan semua peristiwa analitik di semua server DNS yang dikelola oleh solusi. Anda kemudian bisa memfilter peristiwa ini berdasarkan waktu peristiwa, ID peristiwa, server DNS, IP klien yang membuat kueri pencarian, dan kategori tugas jenis kueri. Peristiwa analitik server DNS memungkinkan pelacakan aktivitas di server DNS. Peristiwa analitik dicatat setiap kali server mengirim atau menerima informasi DNS.

Pada halaman Pencarian Log , Anda bisa membuat kueri. Anda dapat memfilter hasil pencarian menggunakan kontrol aspek. Anda juga dapat membuat kueri tingkat lanjut untuk mengubah, memfilter, dan melaporkan hasil Anda. Mulai dengan menggunakan kueri berikut:

  1. Dalam kotak kueri pencarian, masukkan DnsEvents untuk menampilkan semua peristiwa DNS yang dihasilkan oleh server DNS yang dikelola oleh solusi. Hasilnya mencantumkan data log untuk semua peristiwa yang terkait dengan kueri pencarian, pendaftaran dinamis, dan perubahan konfigurasi.

    Cuplikan layar yang memperlihatkan pencarian log DnsEvents.

    1. Untuk menampilkan data log untuk kueri pencarian, pilih LookUpQuery sebagai filter Subjenis dari kontrol faset di sebelah kiri. Tabel yang mencantumkan semua peristiwa kueri pencarian untuk periode waktu yang dipilih muncul.

    2. Untuk menampilkan data log untuk pendaftaran dinamis, pilih DynamicRegistration sebagai filter Subjenis dari kontrol faset di sebelah kiri. Tabel yang mencantumkan semua peristiwa pendaftaran dinamis untuk periode waktu yang dipilih muncul.

    3. Untuk menampilkan data log untuk perubahan konfigurasi, pilih ConfigurationChange sebagai filter Subjenis dari kontrol faset di sebelah kiri. Tabel yang mencantumkan semua peristiwa perubahan konfigurasi untuk periode waktu yang dipilih muncul.

  2. Dalam kotak kueri pencarian, masukkan DnsInventory untuk menampilkan semua data terkait inventori DNS untuk server DNS yang dikelola oleh solusi. Hasilnya mencantumkan data log untuk server DNS, zona DNS, dan rekaman sumber daya.

    Cuplikan layar yang memperlihatkan pencarian log DnsInventory.

Pemecahan Masalah

Langkah-langkah pemecahan masalah umum:

  • Data Pencarian DNS Hilang: Untuk memecahkan masalah ini, coba atur ulang konfigurasi atau muat halaman konfigurasi sekali di portal. Untuk mengatur ulang, ubah pengaturan ke nilai lain, ubah kembali ke nilai asli, dan simpan konfigurasi.

Saran

Untuk memberikan umpan balik, lihat halaman UserVoice Analitik Log untuk memposting ide untuk fitur Analitik DNS untuk dikerjakan.

Langkah berikutnya

Tinjau Log kueri untuk menampilkan catatan log DNS terperinci.