Konektor protokolů DNS NXLog pro Microsoft Sentinel
Datový konektor protokolů DNS NXLog používá trasování událostí pro Windows (ETW) ke shromažďování událostí serveru DNS auditu i analytického serveru DNS. Modul NXLog im_etw čte data trasování událostí přímo pro maximální efektivitu, aniž by bylo nutné zachytit trasování událostí do souboru .etl. Tento konektor REST API může předávat události serveru DNS do Služby Microsoft Sentinel v reálném čase.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
Atribut konektoru | Popis |
---|---|
Tabulky Log Analytics | NXLog_DNS_Server_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | NXLog |
Ukázky dotazů
Dns Server top 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
Dns Server Top 5 EventOriginalTypes (ID událostí)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Analytické události serveru DNS za sekundu (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátorech založených na funkcích Kusto nasazených pomocí řešení Microsoft Sentinel, aby fungoval očekávaným způsobem. **ASimDnsMicrosoftNXLog ** je navržený tak, aby využíval integrované možnosti analýzy související s DNS pro Microsoft Sentinel.
Podle podrobných pokynů v tématu integrace uživatelského průvodce NXLog microsoft Sentinel nakonfigurujte tento konektor.