Konektor Log DNS NXLog untuk Microsoft Azure Sentinel
Konektor data Log DNS NXLog menggunakan Pelacakan Peristiwa untuk Windows (ETW) untuk mengumpulkan peristiwa Audit dan Server DNS Analitik. Modul NXLog im_etw membaca data pelacakan peristiwa secara langsung untuk efisiensi maksimum, tanpa perlu mengambil jejak peristiwa ke dalam file .etl. Konektor REST API ini dapat meneruskan peristiwa Server DNS ke Microsoft Sentinel secara real time.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | NXLog_DNS_Server_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | NXLog |
Kueri sampel
Hostlookup 5 teratas Server DNS
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
DNS Server Top 5 EventOriginalTypes (ID Peristiwa)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Peristiwa analitik Server DNS per detik (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Instruksi penginstalan vendor
Catatan
Konektor data ini bergantung pada pengurai berdasarkan fungsi Kusto yang disebarkan dengan Solusi Microsoft Sentinel agar berfungsi seperti yang diharapkan. **ASimDnsMicrosoftNXLog ** dirancang untuk memanfaatkan kemampuan analitik terkait DNS bawaan Microsoft Sentinel.
Ikuti instruksi langkah demi langkah dalam Topik Integrasi Panduan Pengguna NXLog Microsoft Sentinel untuk mengonfigurasi konektor ini.