NXLog DNS-logboekconnector voor Microsoft Sentinel
De NXLog DNS Logs-gegevensconnector maakt gebruik van Event Tracing voor Windows (ETW) voor het verzamelen van gebeurtenissen van zowel audit- als analytische DNS-server. De MODULE NXLog im_etw leest gegevens voor het traceren van gebeurtenissen rechtstreeks voor maximale efficiëntie, zonder dat de gebeurtenistracering in een ETL-bestand hoeft te worden vastgelegd. Deze REST API-connector kan DNS Server-gebeurtenissen in realtime doorsturen naar Microsoft Sentinel.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | NXLog_DNS_Server_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | NXLog |
Voorbeelden van query's
DNS-server top 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS-server top 5 EventOriginalTypes (gebeurtenis-id's)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Analytische gebeurtenissen van DNS Server per seconde (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van parsers op basis van Kusto-functies die zijn geïmplementeerd met de Microsoft Sentinel-oplossing om naar verwachting te werken. De **ASimDnsMicrosoftNXLog ** is ontworpen om gebruik te maken van de ingebouwde ANALYSEmogelijkheden van Microsoft Sentinel.
Volg de stapsgewijze instructies in het nxlog-gebruikershandleidingintegratieonderwerp Microsoft Sentinel om deze connector te configureren.