Udostępnij za pośrednictwem

Zbieranie szczegółowych informacji o infrastrukturze DNS za pomocą rozwiązania do analizy DNS w wersji zapoznawczej

  • Artykuł

Symbol analizy DNS.

W tym artykule opisano sposób konfigurowania i używania rozwiązania Azure DNS Analytics w usłudze Azure Monitor w celu zbierania szczegółowych informacji na temat infrastruktury DNS w zakresie zabezpieczeń, wydajności i operacji.

Analityka DNS pomaga Ci:

  • Zidentyfikuj klientów, którzy próbują rozwiązywać złośliwe nazwy domen.
  • Identyfikowanie nieaktualnych rekordów zasobów.
  • Zidentyfikuj często wykonywane zapytania dotyczące nazw domen i aktywnych klientów DNS.
  • Wyświetlanie obciążenia żądania na serwerach DNS.
  • Wyświetlanie dynamicznych niepowodzeń rejestracji DNS.

Rozwiązanie zbiera, analizuje i koreluje dzienniki analityczne i inspekcji systemu Windows DNS oraz inne powiązane dane z serwerów DNS.

Ważne

Agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r.. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do agenta usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Migracja agenta usługi Azure Monitor dla usługi Microsoft Sentinel.

Połączone źródła

W poniższej tabeli opisano połączone źródła obsługiwane przez to rozwiązanie:

Połączone źródło Wsparcie Opis
agentów systemu Windows Tak Rozwiązanie zbiera informacje DNS z agentów systemu Windows.
agentów systemu Linux Nie. Rozwiązanie nie zbiera informacji DNS z bezpośrednich agentów systemu Linux.
System Center Operations Manager grupy zarządzania Tak Rozwiązanie zbiera informacje DNS od agentów w połączonej grupie zarządzania programu Operations Manager. Bezpośrednie połączenie z agenta programu Operations Manager do usługi Azure Monitor nie jest wymagane. Dane są przekazywane z grupy zarządzania do obszaru roboczego usługi Log Analytics.
konto usługi Azure Storage Nie. Usługa Azure Storage nie jest używana przez rozwiązanie.

Szczegóły zbierania danych

Rozwiązanie zbiera spis DNS i dane związane z zdarzeniami DNS z serwerów DNS, na których jest zainstalowany agent usługi Log Analytics. Te dane są następnie przekazywane do usługi Azure Monitor i wyświetlane na pulpicie nawigacyjnym rozwiązania. Dane związane ze spisem, takie jak liczba serwerów DNS, stref i rekordów zasobów, są zbierane przez uruchomienie poleceń cmdlet programu PowerShell DNS. Dane są aktualizowane co dwa dni. Dane związane z zdarzeniami są zbierane niemal w czasie rzeczywistym z dzienników analizy i inspekcji udostępniane przez rozszerzone rejestrowanie i diagnostykę DNS w systemie Windows Server 2012 R2.

Konfiguracja

Skorzystaj z poniższych informacji, aby skonfigurować rozwiązanie:

Rozwiązanie rozpoczyna zbieranie danych bez konieczności dalszej konfiguracji. Można jednak użyć następującej konfiguracji, aby dostosować zbieranie danych.

Konfigurowanie rozwiązania

W obszarze roboczym usługi Log Analytics w portalu Azure wybierz pozycję Podsumowanie obszaru roboczego (przestarzałe). Następnie wybierz kafelek DNS Analytics. Na pulpicie rozwiązania wybierz pozycję Konfiguracja, aby otworzyć stronę Konfiguracja DNS Analytics. Istnieją dwa typy zmian konfiguracji, które można wprowadzić:

  • Nazwy domen na białej liście: rozwiązanie nie przetwarza wszystkich zapytań wyszukiwania. Utrzymuje listę dozwolonych sufiksów nazw domen. Zapytania wyszukiwania, które prowadzą do nazw domen zgodnych z sufiksami nazw domen na tej liście dozwolonych, nie są przetwarzane przez rozwiązanie. Nieprzetwarzanie nazw domen umieszczonych na białej liście pomaga zoptymalizować dane wysyłane do usługi Azure Monitor. Domyślna lista dozwolonych zawiera popularne nazwy domen publicznych, takie jak www.google.com i www.facebook.com. Pełną listę domyślną można wyświetlić, przewijając.

    Możesz zmodyfikować listę, aby dodać dowolny sufiks nazwy domeny, dla którego chcesz wyświetlić szczegółowe informacje dotyczące wyszukiwania. Możesz również usunąć dowolny sufiks nazwy domeny, dla którego nie chcesz wyświetlać szczegółowych informacji wyszukiwania.

  • Talkative Client Threshold: klienci DNS, którzy przekraczają próg liczby żądań wyszukiwania, są wyróżnieni w panelu klientów DNS. Domyślny próg to 1000. Możesz edytować próg.

    Zrzut ekranu przedstawiający nazwy domen dozwolonych.

Pakiety administracyjne

Jeśli używasz programu Microsoft Monitoring Agent do nawiązania połączenia z obszarem roboczym usługi Log Analytics, zostanie zainstalowany następujący pakiet administracyjny:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)

Jeśli grupa zarządzania programu Operations Manager jest połączona z obszarem roboczym usługi Log Analytics, następujące pakiety administracyjne są instalowane w programie Operations Manager podczas dodawania tego rozwiązania. Nie ma wymaganej konfiguracji ani konserwacji tych pakietów administracyjnych:

  • Microsoft DNS Data Collector Intelligence Pack (Microsoft.IntelligencePacks.Dns)
  • Konfiguracja analizy DNS w Microsoft System Center Advisor (Microsoft.IntelligencePack.Dns.Configuration)

Aby uzyskać więcej informacji na temat aktualizowania pakietów administracyjnych rozwiązania, zobacz Connect Operations Manager to Log Analytics.

Korzystanie z rozwiązania ANALIZY DNS

Dane zebrane przez to rozwiązanie do monitorowania są dostępne na stronie Podsumowanie obszaru roboczego (przestarzałe) w portalu Azure. Otwórz tę stronę z obszarów roboczych usługi Log Analytics dla obszaru roboczego przy użyciu rozwiązania, a następnie wybierz pozycję Workspace Summary (przestarzałe) w sekcji Classic menu. Każde rozwiązanie jest reprezentowane przez kafelek. Wybierz kafelek, aby uzyskać bardziej szczegółowe dane zebrane przez to rozwiązanie.

Kafelek DNS zawiera liczbę serwerów DNS, na których są zbierane dane. Obejmuje również liczbę żądań wysyłanych przez klientów w celu rozwiązania złośliwych domen w ciągu ostatnich 24 godzin. Po wybraniu kafelka pulpit nawigacyjny rozwiązania zostanie otwarty.

Zrzut ekranu przedstawiający płytkę analizy DNS.

Panel rozwiązań

Na pulpicie nawigacyjnym rozwiązania są wyświetlane podsumowane informacje dotyczące różnych funkcji rozwiązania. Zawiera również linki do szczegółowego widoku analizy kryminalistycznej i diagnostyki. Domyślnie dane są wyświetlane przez ostatnie siedem dni. Zakres daty i godziny można zmienić przy użyciu kontrolki wyboru daty i godziny , jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający kontrolkę wyboru czasu.

Pulpit nawigacyjny rozwiązania zawiera następujące sekcje:

Zabezpieczenia DNS : zgłasza klientów DNS, którzy próbują komunikować się ze złośliwymi domenami. Korzystając z kanałów informacyjnych analizy zagrożeń firmy Microsoft, usługa DNS Analytics może wykrywać adresy IP klientów, które próbują uzyskać dostęp do złośliwych domen. W wielu przypadkach urządzenia zainfekowane złośliwym oprogramowaniem "nawiązują połączenie" z centrum "komendy i kontroli" w złośliwej domenie poprzez rozpoznanie nazwy domeny złośliwego oprogramowania.

Zrzut ekranu przedstawiający sekcję Zabezpieczenia DNS.

Po wybraniu adresu IP klienta na liście zostanie otwarte wyszukiwanie dzienników i zostanie wyświetlone szczegóły wyszukiwania odpowiedniego zapytania. W poniższym przykładzie usługa DNS Analytics wykryła, że komunikacja została wykonana za pomocą IRCbot:

Zrzut ekranu przedstawiający wyniki wyszukiwania logów z ircbot.

Informacje te ułatwiają zidentyfikowanie następujących informacji:

  • Adres IP klienta, który zainicjował komunikację.
  • Nazwa domeny rozpoznawana jako złośliwy adres IP.
  • Adresy IP rozpoznawane przez nazwę domeny.
  • Złośliwy adres IP.
  • Ważność problemu.
  • Przyczyna blokowania złośliwego adresu IP.
  • Czas wykrywania.

Zapytane domeny: Dostarcza najczęściej zapytane nazwy domen przez klientów DNS w Twoim środowisku. Możesz wyświetlić listę wszystkich zapytanych nazw domen. Możesz również wniknąć w szczegóły zapytania wyszukiwania określonej nazwy domeny w Log Search.

Zrzut ekranu przedstawiający sekcję Zapytania o domeny.

Klienci DNS: Zgłasza klientów przekraczających próg liczby zapytań w wybranym przedziale czasu. Możesz wyświetlić listę wszystkich klientów DNS oraz szczegóły zapytań wykonanych przez nich w Log Search.

Zrzut ekranu przedstawiający sekcję Klienci DNS.

Dynamiczne Rejestracje DNS: zgłasza błędy rejestracji nazw. Wszystkie błędy rejestracji dla adresów rekordów zasobów (typ A i AAAA) są wyróżnione wraz z adresami IP klientów, które złożyły żądania rejestracji. Następnie możesz użyć tych informacji, aby znaleźć główną przyczynę niepowodzenia rejestracji, wykonując następujące kroki:

  1. Znajdź strefę autorytatywną dla nazwy, którą klient próbuje zaktualizować.

  2. Użyj rozwiązania, aby sprawdzić informacje o zapasach w tej strefie.

  3. Sprawdź, czy aktualizacja dynamiczna strefy jest włączona.

  4. Sprawdź, czy strefa jest skonfigurowana do bezpiecznej aktualizacji dynamicznej, czy nie.

    Zrzut ekranu przedstawiający sekcję Dynamiczne rejestracje DNS.

Żądania rejestracji nazw: górny kafelek przedstawia linię trendu pomyślnych i zakończonych niepowodzeniem żądań aktualizacji dynamicznych DNS. Dolny kafelek zawiera listę 10 pierwszych klientów, którzy wysyłają nieudane żądania aktualizacji DNS do serwerów DNS, posortowane według liczby błędów.

Zrzut ekranu przedstawiający sekcję Żądania rejestracji nazw.

przykładowe zapytania analizy DDI: zawiera listę najczęściej używanych zapytań wyszukiwania, które pobierają dane analizy pierwotnej bezpośrednio.

Zrzut ekranu przedstawiający przykładowe zapytania.

Możesz użyć tych zapytań jako punktu wyjścia do tworzenia własnych zapytań na potrzeby niestandardowego raportowania. Zapytania łączą się z stroną wyszukiwania w dziennikach usługi DNS Analytics, oznaczoną przez i, na której są wyświetlane wyniki:

  • lista serwerów DNS: przedstawia listę wszystkich serwerów DNS wraz z przypisanymi nazwami FQDN, nazwami domen, nazwami lasu i adresami IP serwerów.

  • lista stref DNS: przedstawia listę wszystkich stref DNS ze skojarzoną nazwą strefy, stanem aktualizacji dynamicznej, serwerami nazw i stanem podpisywania DNSSEC.

  • Nieużywane Rekordy Zasobów: Wyświetla listę wszystkich nieużywanych/przestarzałych rekordów zasobów. Ta lista zawiera nazwę rekordu zasobu, typ rekordu zasobu, skojarzony serwer DNS, czas generowania rekordów i nazwę strefy. Za pomocą tej listy można zidentyfikować rekordy zasobów DNS, które nie są już używane. Na podstawie tych informacji można usunąć te wpisy z serwerów DNS.

  • Obciążenie zapytań serwerów DNS: Prezentuje informacje umożliwiające zrozumienie obciążenia DNS na serwerach DNS. Te informacje mogą ułatwić zaplanowanie pojemności serwerów. Możesz przejść do karty Metryki, aby zmienić widok na wizualizację graficzną. Ten widok pomaga zrozumieć, jak obciążenie DNS jest dystrybuowane na serwerach DNS. Przedstawia trendy szybkości zapytań DNS dla każdego serwera.

    Zrzut ekranu przedstawiający wyniki wyszukiwania dzienników zapytań serwerów DNS.

  • Zapytania stref DNS - obciążenie: przedstawia statystyki zapytań DNS na sekundę dla wszystkich stref na serwerach DNS zarządzanych przez to rozwiązanie. Wybierz kartę Metryki, aby zmienić widok ze szczegółowych rekordów na graficzną wizualizację wyników.

  • Zdarzenia konfiguracji: Pokazuje wszystkie zdarzenia zmiany konfiguracji DNS i powiązane komunikaty. Następnie można filtrować te zdarzenia na podstawie czasu zdarzenia, identyfikatora zdarzenia, serwera DNS lub kategorii zadań. Dane mogą pomóc w inspekcji zmian wprowadzonych na określonych serwerach DNS w określonym czasie.

  • Dziennik Analityczny DNS: pokazuje wszystkie zdarzenia analityczne na wszystkich serwerach DNS zarządzanych przez rozwiązanie. Następnie można filtrować te zdarzenia na podstawie czasu zdarzenia, identyfikatora zdarzenia, serwera DNS, adresu IP klienta, który dokonał kwerendy wyszukiwania i kategorii zadań typu zapytania. Zdarzenia analityczne serwera DNS umożliwiają śledzenie działań na serwerze DNS. Zdarzenie analityczne jest rejestrowane za każdym razem, gdy serwer wysyła lub odbiera informacje DNS.

Na stronie Log Search można utworzyć zapytanie. Wyniki wyszukiwania można filtrować przy użyciu kontrolek aspektów. Możesz również tworzyć zaawansowane zapytania, aby przekształcać, filtrować i raportować wyniki. Zacznij od użycia następujących zapytań:

  1. W polu zapytania wyszukiwania wprowadź DnsEvents, aby wyświetlić wszystkie zdarzenia DNS generowane przez serwery DNS zarządzane przez rozwiązanie. Wyniki zawierają listę danych dziennika dla wszystkich zdarzeń związanych z zapytaniami wyszukiwania, dynamicznymi rejestracjami i zmianami konfiguracji.

    Zrzut ekranu przedstawiający wyszukiwanie w dzienniku DnsEvents.

    1. Aby wyświetlić dane dziennika dla zapytań wyszukiwania, wybierz pozycję LookUpQuery jako filtr podtypu z narzędzia filtrującego po lewej stronie. Zostanie wyświetlona tabela zawierająca wszystkie zdarzenia zapytania wyszukiwania dla wybranego okresu.

    2. Aby wyświetlić dane dziennika dla rejestracji dynamicznych, wybierz pozycję DynamicRegistration jako filtr podtypu z kontrolki aspektu po lewej stronie. Zostanie wyświetlona tabela zawierająca wszystkie zdarzenia rejestracji dynamicznej dla wybranego okresu.

    3. Aby wyświetlić dane dziennika pod kątem zmian konfiguracji, wybierz ConfigurationChange jako filtr podtypu z kontrolki aspektu po lewej stronie. Zostanie wyświetlona tabela zawierająca listę wszystkich zdarzeń zmiany konfiguracji dla wybranego okresu.

  2. W polu zapytania wyszukiwania wprowadź DnsInventory, aby wyświetlić wszystkie dane dotyczące spisu DNS dla serwerów DNS zarządzanych przez rozwiązanie. Wyniki zawierają listę danych dziennika dla serwerów DNS, stref DNS i rekordów zasobów.

    Zrzut ekranu przedstawiający wyszukiwanie w dzienniku DnsInventory.

Rozwiązywanie problemów

Typowe kroki rozwiązywania problemów:

  • Brak danych wyszukiwania DNS: Aby rozwiązać ten problem, spróbuj zresetować konfigurację lub jednokrotnie załadować stronę konfiguracji w portalu. Aby zresetować, zmień ustawienie na inną wartość, zmień ją z powrotem na oryginalną wartość i zapisz konfigurację.

Sugestie

Aby przekazać opinię, zobacz stronę Log Analytics UserVoice, aby opublikować pomysły dotyczące funkcji DNS Analytics, nad którymi można pracować.

Następne kroki

Przejrzyj dzienniki zapytań i, aby sprawdzić szczegółowe rejestry DNS.