透過 AMA 連接器參考的 DNS - 可用的欄位和正規化結構描述

Microsoft Sentinel 可讓您將 Windows 網域名稱系統 (DNS) 伺服器記錄的事件串流和篩選到 ASimDnsActivityLog 標準化結構描述資料表。本文說明用於篩選資料的欄位，以及 Windows DNS 伺服器欄位的正規化結構描述。

Azure 監視器代理程式 (AMA) 及其 DNS 擴充功能會安裝在您的 Windows Server 上，以將資料從 DNS 分析記錄上傳至 Microsoft Sentinel 工作區。您可以使用透過 AMA 連接器的 Windows DNS 事件串流和篩選資料。

可用的篩選欄位

下列資料表顯示可用的欄位。欄位名稱會使用 DNS 結構描述標準化。

欄位名稱	值	描述
EventOriginalType	介於 256 到 280 之間的數字	指出 DNS 通訊協定事件類型的 Windows DNS eventID。
EventResultDetails	• NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE	作業的 DNS 結果字串如網際網路指派號碼授權單位 (IANA) 所定義。
DvcIpAdrr	IP 位址	報告事件的伺服器 IP 位址。此欄位也包括地理位置和惡意 IP 資訊。
DnsQuery	網域名稱 (FQDN)	該字串表示要解析的網域名稱。 • 可以接受逗號分隔清單中的多個值，以及萬用字元。例如： `*.microsoft.com,google.com,facebook.com` • 請檢閱下列使用萬用字元的考量
DnsQueryTypeName	• A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV	要求的 DNS 屬性。 IANA 所定義的 DNS 資源記錄類型名稱。

此資料表描述 Windows DNS 伺服器欄位，並將其轉譯為標準化欄位名稱，因為其出現在 DNS 正規化結構描述中。

Windows DNS 欄位名稱	標準化欄位名稱	類型	描述
EventID	EventOriginalType	String	原始事件類型或識別碼。
RCODE	EventResult	String	事件的結果 (成功、部分、失敗、NA)。
已剖析的 RCODE	EventResultDetails	String	IANA 所定義的 DNS 回應碼。
InterfaceIP	DvcIpAdrr	String	事件報告裝置或介面的 IP 位址。
AA	DnsFlagsAuthoritative	整數	指出來自伺服器的回應是否授權。
AD	DnsFlagsAuthenticated	整數	表示伺服器會根據伺服器原則，驗證回答和回應授權單位中的所有資料。
RQNAME	DnsQuery	String	需要解析網域。
QTYPE	DnsQueryType	整數	IANA 所定義的 DNS 資源記錄類型名稱。
連接埠	SrcPortNumber	整數	傳送查詢的來源連接埠。
來源	SrcIpAddr	IP 位址	傳送 DNS 要求的用戶端 IP 位址。針對遞迴 DNS 要求，此值通常是報告裝置的 IP，而且在大部分情況下為 `127.0.0.1`。
ElapsedTime	DnsNetworkDuration	整數	完成 DNS 要求所需的時間。
GUID	DnsSessionId	String	報告裝置回報的 DNS 工作階段識別碼。

在本文中，您已了解用於透過 AMA 連接器使用 Windows DNS 事件篩選 DNS 記錄資料的欄位。若要深入了解 Microsoft Sentinel，請參閱下列文章：