Соединитель журналов DNS NXLog для Microsoft Sentinel
Соединитель данных журналов DNS NXLog использует трассировку событий для Windows (ETW) для сбора событий аудита и аналитического DNS-сервера. Модуль NXLog im_etw считывает данные трассировки событий непосредственно для максимальной эффективности без необходимости записывать трассировку событий в ETL-файл. Этот соединитель REST API может пересылать события DNS-сервера в Microsoft Sentinel в режиме реального времени.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | NXLog_DNS_Server_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | NXLog |
Примеры запросов
DNS-сервер top 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS-сервер top 5 EventOriginalTypes (идентификаторы событий)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Аналитические события DNS-сервера в секунду (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от синтаксического анализа на основе функций Kusto, развернутых с помощью решения Microsoft Sentinel для работы должным образом. Функция **ASimDnsMicrosoftNXLog ** предназначена для использования встроенных возможностей аналитики, связанных с DNS, в Microsoft Sentinel.
Чтобы настроить этот соединитель, следуйте пошаговые инструкции в разделе интеграции с руководством пользователя NXLog в Microsoft Sentinel.