Łącznik dzienników DNS NXLog dla usługi Microsoft Sentinel
Łącznik danych dzienników DNS NXLog używa funkcji śledzenia zdarzeń systemu Windows (ETW) do zbierania zarówno zdarzeń serwera DNS inspekcji, jak i analitycznego. Moduł im_etw NXLog odczytuje dane śledzenia zdarzeń bezpośrednio w celu uzyskania maksymalnej wydajności bez konieczności przechwytywania śledzenia zdarzeń do pliku etl. Ten łącznik interfejsu API REST może przekazywać zdarzenia serwera DNS do usługi Microsoft Sentinel w czasie rzeczywistym.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | NXLog_DNS_Server_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | NXLog |
Przykłady zapytań
Serwer DNS top 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
Serwer DNS Top 5 EventOriginalTypes (identyfikatory zdarzeń)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Zdarzenia analityczne serwera DNS na sekundę (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych zależy od analizatorów opartych na funkcjach Kusto wdrożonych z rozwiązaniem Microsoft Sentinel do działania zgodnie z oczekiwaniami. Element **ASimDnsMicrosoftNXLog ** został zaprojektowany w celu wykorzystania wbudowanych funkcji analitycznych związanych z usługą DNS usługi Microsoft Sentinel.
Postępuj zgodnie z instrukcjami krok po kroku w temacie Integracji przewodnika użytkownika NXLog Microsoft Sentinel, aby skonfigurować ten łącznik.