Collecter les données DNS de Microsoft Windows

Ce document:

  • Décrit l'architecture de déploiement et les étapes d'installation, ainsi que la configuration requise pour produire des journaux compatibles avec l'analyseur Chronicle pour les événements DNS de Microsoft Windows. Pour en savoir plus sur l'ingestion de données Chronicle, consultez la section Ingestion de données vers Chronicle.
  • Inclut des informations sur la manière dont l'analyseur mappe les champs du journal d'origine avec les champs du modèle de données unifié Chronicle.

Les informations contenues dans ce document s'appliquent à l'analyseur portant le libellé d'ingestion WINDOWS_DNS. Le libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré.

Avant de commencer

  • Examinez l'architecture de déploiement recommandée.

    Le schéma suivant illustre les composants de base recommandés dans une architecture de déploiement pour collecter et envoyer des événements DNS de Microsoft Windows à Chronicle. Comparez ces informations avec votre environnement pour vous assurer que ces composants sont installés. Chaque déploiement client sera différent de cette représentation et pourra être plus complexe. Les éléments suivants sont obligatoires:

    • Serveur DNS de Microsoft avec la journalisation des diagnostics DNS activée.
    • Tous les systèmes configurés avec le fuseau horaire UTC
    • NXLog installé sur des serveurs Microsoft Windows en cluster pour collecter et transférer les journaux vers le serveur Microsoft Windows ou Linux central.
    • Le redirecteur Chronicle est installé sur le serveur Microsoft Windows ou Linux central.

    Architecture de déploiement

  • Consultez la liste des appareils et versions compatibles.

    L'analyseur Chronicle est compatible avec les journaux des versions Microsoft Windows Server suivantes. Microsoft Windows Server est publié avec les éditions suivantes : Foundation, Essentials, Standard et Datacenter. Le schéma d'événements des journaux générés par chaque édition ne diffère pas.

    • Microsoft Windows Server 2019
    • Microsoft Windows Server 2016
    • Microsoft Windows Server 2012 R2

    L'analyseur Chronicle est compatible avec les journaux collectés par NXLog Enterprise Edition.

  • Examinez les types de journaux acceptés. L'analyseur Chronicle accepte les types de journaux suivants, générés par les serveurs DNS Microsoft Windows. Pour en savoir plus sur ces types de journaux, consultez la documentation Journalisation et diagnostic DNS Microsoft Windows. Cette fonctionnalité est compatible avec les journaux générés en anglais et ne l'est pas.

    • Journaux d'audit: pour obtenir une description de ce type de journal, consultez la documentation Microsoft Journaux d'audit de Microsoft.
    • Journaux Analytics: pour obtenir une description de ce type de journaux, consultez la documentation sur les journaux Analytics de Microsoft Windows.
  • Configurez les serveurs DNS Microsoft Windows. Pour en savoir plus sur l'installation et l'activation de la journalisation des diagnostics DNS, consultez la documentation Microsoft Windows.

  • Installez et configurez le serveur central de Windows ou de Linux.

  • Configurez tous les systèmes avec le fuseau horaire UTC.

Configurer le redirecteur NXLog et Chronicle

  1. Installez NXLog sur chaque serveur DNS Microsoft Windows. Suivez la documentation NXLog.
  2. Créez un fichier de configuration pour chaque instance NXLog. Utilisez le module d'entrée im_etw pour l'extraction de journaux d'analyse DNS et le module d'entrée im_msvistalog pour les journaux d'audit.

    Voici un exemple de configuration NXLog. Remplacez les valeurs <hostname> et <port> par des informations sur le serveur Microsoft Windows ou Linux central. Pour convertir et analyser les journaux au format JSON plutôt que XML, vous pouvez remplacer la ligne Exec to_xml(); par Exec to_json();. Pour en savoir plus, consultez la documentation NXLog sur le module om_tcp.

    define ROOT C:\Program Files\nxlog
    define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname>
    define WINDNS_OUTPUT_DESTINATION_PORT <port>
    
    Moduledir   %ROOT%\modules
    CacheDir    %ROOT%\data
    Pidfile     %ROOT%\data\nxlog.pid
    SpoolDir    %ROOT%\data
    LogFile     %ROOT%\data\nxlog.log
    
    <Extension syslog>
        Module      xm_syslog
    </Extension>
    
    # To collect XML logs, use the below NXLog module
    <Extension xml>
        Module      xm_xml
    </Extension>
    
    # To collect JSON logs, use the below NXLog module
    <Extension json>
        Module      xm_json
    </Extension>
    
    <Input eventlog>
        Module      im_etw
        Provider    Microsoft-Windows-DNSServer
    </Input>
    
    <Input auditeventlog>
        Module      im_msvistalog
        <QueryXML>
            <QueryList>
                <Query Id="0" Path="Microsoft-Windows-DNSServer/Audit">
                    <Select Path="Microsoft-Windows-DNSServer/Audit">*</Select>
                </Query>
            </QueryList>
        </QueryXML>
    </Input>
    
    <Output out_chronicle_windns>
        Module      om_tcp
        Host        %WINDNS_OUTPUT_DESTINATION_ADDRESS%
        Port        %WINDNS_OUTPUT_DESTINATION_PORT%
        Exec        $EventTime = integer($EventTime) / 1000;
        Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
        Exec        to_xml(); # To collect JSON, use to_json()
    </Output>
    
    <Route analytical_windns_to_chronicle>
        Path    eventlog => out_chronicle_windns
    </Route>
    
    <Route audit_windns_to_chronicle>
        Path    auditeventlog => out_chronicle_windns
    </Route>
    
  3. Installez le redirecteur Chronicle sur le serveur Microsoft Windows ou Linux central. Pour plus d'informations sur l'installation et la configuration du redirecteur, consultez les pages Installer et configurer le redirecteur sous Linux ou Installer et configurer le redirecteur sous Microsoft Windows.

  4. Configurez le redirecteur Chronicle pour envoyer les journaux à Chronicle. Voici un exemple de configuration de redirecteur.

      - syslog:
          common:
            enabled: true
            data_type: WINDOWS_DNS
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Référence de mappage de champs: champs de journal de l'appareil vers champs UDM

Cette section décrit comment l'analyseur mappe les champs de journal d'appareils d'origine avec les champs de modèle de données unifié (UDM).

Champs courants

Champ NXLog Champ UDM Commenter
SourceName metadata.vendor_name = "Microsoft ;

metadata.product_name = "Windows DNS Server
ID de l'événement security_result.rule_name (nom de la règle de sécurité) Stocké sous l'identifiant "EventID: "{EventID}". Dans les événements avec les niveaux d'erreur et d'avertissement, le champ is_alert est défini sur "true".
Gravité security_result.Gravité Les valeurs sont mappées à l'énumération du champ UDM comme suit :
0 (Aucune) : UNKNOWN_SEVERITY
1 (Critique) - INFORMATIONAL
2 (Erreur) - ERROR
3 (Avertissement) - ERROR
4 (Information) - INFORMATIONAL
5 (Détaillé) - INFORMATION
Heure de l'événement metadata.event_timestamp [horodatage_événement.horodatage]
ID d'exécution du processus principal.process.pid / target.process.pid Valeur stockée dans target.process.pid pour les ID d'événement 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.
Valeur stockée dans principal.process.pid pour tous les autres ID d'événement.
Canal metadata.product_event_type
Hostname principal.hostname / target.nom_hôte Valeur stockée dans target.hostname pour les ID d'événement suivants: 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.

Valeur stockée dans principal.hostname depuis tous les autres ID d'événement.
ID utilisateur principal.user.windows_sid / target.user.windows_sid Elles sont stockées dans target.user.windows_sid pour les ID d'événement suivants: 256, 259, 261, 263, 266, 268, 270, 272,273, 275, 278, 279, 280.

Stocké dans principal.user.windows_sid pour tous les autres ID d'événement

Journaux Analytics

Champ de journal d'origine Champ UDM Commenter
AA network.dns.authoritative
Destination target.ip / principal.ip Renseigné dans le compte principal et dans la cible.
InterfaceIP target.ip / principal.ip Il stocke l'adresse IP du serveur DNS dans target.ip pour les ID d'événement suivants, 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.
Stocké dans principal.ip pour tous les autres ID d'événement (réponse DNS).
Paquets de données network.dns.answers.binary_data
Port target.port / principal.port
QNAME network.dns.questions.name
QTYPE network.dns.questions.type.
RCODE code.dns.response_code
Disque network.dns.recursion_want
Motif security_result.summary (résumé_sécurité)
Source principal.ip / target.ip Adresse IPv4/IPv6 source de la machine qui a initié la requête DNS.
Enregistré dans target.ip pour l'ID d'événement 274. Elles sont stockées dans target.ip pour les ID d'événement 265 et 269. InterfaceIP contient l'adresse IP (principale) du serveur secondaire et la source (cible) est l'adresse IP du serveur principal.
TCP network.ip_protocol
ID XID network.dns.id

Journaux d'audit

Champ de journal d'origine Champ UDM Remarque
Name target.resource.name La valeur est collectée à partir des événements ayant l'ID d'événement 512.
Stratégie target.resource.name La valeur est collectée à partir des événements dont les ID d'événement sont 577, 578, 579, 580, 581 et 582, et qui sont mis en correspondance avec les types d'événements Setting_*.
QNAME network.dns.questions.name
QTYPE network.dns.questions.type.
RecursionScope target.resource.name La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*.
Champ d'application target.resource.name La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*.
Paramètre target.resource.name La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*.
Source principal.ip
Zone target.resource.name La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*.
Portée target.resource.name La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*.

Référence de mappage de champs: ID de l'événement sur le type d'événement UDM

Cette section décrit la façon dont l'analyseur associe les ID d'événement aux types d'événements UDM. En général, les événements sont mappés avec le paramètre metadata.event_type NETWORK_DNS, à l'exception des ID d'événement de la section suivante.

ID de l'événement Texte de l'événement Type d'événement UDM Remarques
275 XFR_NOTIFY_ACK_IN: Source=%1 ; InterfaceIP=%2 ; Paquets=%4 GÉNÉRIQUE
276 IXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; Paquets=%10 GÉNÉRIQUE
512 PARAMTRES_CREATION
513 La zone %1 a été supprimée. PARAMTRES_DELETION
514 La zone %1 a été mise à jour. Le paramètre %2 a été défini sur %3. PARAMTRES_MODIFICATION
515 Un enregistrement de ressources de type %1, nommé %2, TTL %3 et RDATA %5, a été créé dans le champ d'application %7 de la zone %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
516 Un enregistrement de ressources de type %1, nommé %2 et RDATA %5, a été supprimé du champ d'application %7 de la zone %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
517 Tous les enregistrements de ressources de type %1, nommés %2, ont été supprimés du champ d'application %4 de la zone %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
518 Tous les enregistrements de ressources associés au nom de nœud %1 ont été supprimés du champ d'application %3 de la zone %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
519 Un enregistrement de ressources de type %1, nommé %2, TTL %3 et RDATA %5, a été créé dans le champ d'application %7 de la zone %6 via une mise à jour dynamique effectuée à partir de l'adresse IP %8. SYSTEM_AUDIT_LOG_UNCATEGORIZED
520 Un enregistrement de ressources de type %1, nommé %2 et RDATA %5 a été supprimé du champ d'application %7 de la zone %6 via une mise à jour dynamique de l'adresse IP %8. SYSTEM_AUDIT_LOG_UNCATEGORIZED
521 Un enregistrement de ressources de type %1, nommé %2, TTL %3 et RDATA %5, a été récupéré à partir du champ d'application %7 de la zone %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
522 Le niveau d'accès %1 a été créé dans la zone %2. PARAMTRES_CREATION
523 Le niveau d'accès %1 a été supprimé dans la zone %2. PARAMTRES_DELETION
525 La zone %1 a été signée avec les propriétés suivantes: DenialOfExistence=%2; DistributionTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; IsKeyMasterServer=%8; KeyMasterServer=%9; OneSecSecDe%1S%=%1%Du%1%1%Du%1%1%1%6%1%Est%e%=%1%Du%1%1%Du%1%1%%2%3%%6%1%Est%=%1%Du%1%Est%=%1%Du%1%%De%1%%2 SYSTEM_AUDIT_LOG_UNCATEGORIZED
526 La signature de la zone %1 a été annulée. SYSTEM_AUDIT_LOG_UNCATEGORIZED
527 La zone %1 a été de nouveau signée avec les propriétés suivantes: DenialOfExistence=%2; DistributionTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; IsKeyMasterServer=%Sec1%1%Du1%3%Al%C3%A9%=%1%EstDu%1%EstDu%1%EstDu%1%EstDu%1% savezDu%1%1%Du%1%1%3%%2%2%3%%2%2%3%%2%2%Fi%L%C3%Ale%1 SYSTEM_AUDIT_LOG_UNCATEGORIZED
528 Le survol a été lancé sur le type %1 avec le GUID %2 de la zone %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
529 Le survol a été effectué sur le type %1 avec le GUID %2 de la zone %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
530 Le type %1 avec le GUID %2 de la zone %3 a été marqué pour être retiré. La clé sera supprimée une fois le survol terminé. SYSTEM_AUDIT_LOG_UNCATEGORIZED
531 Le survol manuel a été déclenché sur le type %1 avec le GUID %2 de la zone %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
533 La clé de signature de clés avec le GUID %1 sur la zone %2 qui attendait une mise à jour du signataire(DS) sur le parent a été forcée de se terminer par le survol. SYSTEM_AUDIT_LOG_UNCATEGORIZED
534 Les métadonnées du paramètre DNSSEC ont été exportées pour les métadonnées de clé de signature de clé %1 depuis la zone %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
535 Les métadonnées du paramètre DNSSEC ont été importées dans la zone %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
536 Enregistrement A du type %1, QNAME %2 a été supprimé définitivement du champ d'application %3 du cache. SYSTEM_AUDIT_LOG_UNCATEGORIZED
537 La liste du redirecteur pour le champ d'application %2 a été réinitialisée sur %1. PARAMTRES_MODIFICATION La valeur target.resource.name est définie sur la liste du redirecteur sur le champ d'application : "{scope_name}".
540 Les indicateurs racine ont été modifiés. PARAMTRES_MODIFICATION target.resource.name renseigné avec le texte "Root Hints"
541 Le paramètre %1 sur le champ d'application %2 a été défini sur %3. PARAMTRES_MODIFICATION
542 Le champ d'application %1 du serveur DNS a été créé. PARAMTRES_CREATION
543 Le champ d'application %1 du serveur DNS a été supprimé. PARAMTRES_DELETION
544 Le DNSKEY avec le protocole de clé %2, les données en base64 %4 et l'algorithme de chiffrement %5 a été ajouté au point de confiance %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
545 Le DS avec le tag clé: %2, Type de condensé: %3, Digest: %5 et Algorithme de chiffrement : %6 a été ajouté au point de confiance %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
546 Le point de confiance de %1 de type %2 a été supprimé. SYSTEM_AUDIT_LOG_UNCATEGORIZED
547 L'ancre de confiance pour la zone racine a été ajoutée. SYSTEM_AUDIT_LOG_UNCATEGORIZED
548 Une requête de redémarrage du service de serveur DNS a été reçue. SYSTEM_AUDIT_LOG_UNCATEGORIZED
549 Les journaux de débogage ont été effacés de %1 sur le serveur DNS. SYSTEM_AUDIT_LOG_WIPE
550 Le contenu en mémoire de toutes les zones du serveur DNS a été vidé dans leurs fichiers respectifs. SYSTEM_AUDIT_LOG_UNCATEGORIZED
551 Toutes les données statistiques relatives au serveur DNS ont été effacées. SYSTEM_AUDIT_LOG_WIPE
552 Un cycle de récupération des enregistrements de ressources a démarré sur le serveur DNS. SYSTEM_AUDIT_LOG_UNCATEGORIZED
553 %1 SYSTEM_AUDIT_LOG_UNCATEGORIZED
554 Le cycle de récupération de l'enregistrement de ressources a été arrêté sur le serveur DNS. SYSTEM_AUDIT_LOG_UNCATEGORIZED
555 Le serveur DNS a été préparé pour la rétrogradation en supprimant les références à toutes les zones stockées dans Active Directory. SYSTEM_AUDIT_LOG_UNCATEGORIZED
556 Les informations sur les indices racine sur le serveur DNS ont été réécrites dans l'espace de stockage persistant. SYSTEM_AUDIT_LOG_UNCATEGORIZED
557 Les adresses sur lesquelles le serveur DNS écoute a été remplacée par %1. PARAMTRES_MODIFICATION target.resource.name renseigné avec le texte "Écouter les adresses"
558 Une actualisation active RFC 5011 immédiate a été planifiée pour tous les points de confiance. SYSTEM_AUDIT_LOG_UNCATEGORIZED
559 La zone %1 est en pause. SYSTEM_AUDIT_LOG_UNCATEGORIZED
560 La zone %1 est réactivée. SYSTEM_AUDIT_LOG_UNCATEGORIZED
561 Les données de la zone %1 ont été rechargées à partir de %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
562 Les données de la zone %1 ont été actualisées du serveur maître %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
563 La zone secondaire %1 a expiré et de nouvelles données ont été demandées au serveur maître %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
564 La zone %1 a été rechargée à partir d'Active Directory. SYSTEM_AUDIT_LOG_UNCATEGORIZED
565 Le contenu de la zone %1 a été écrit sur le disque et la notification a été envoyée à tous les serveurs de notifications. PARAMTRES_MODIFICATION
566 L'horodatage de l'ensemble des enregistrements DNS du nœud %1 de la zone %2 sera défini sur l'heure actuelle.%3 SYSTEM_AUDIT_LOG_UNCATEGORIZED
567 La zone intégrée Active Directory %1 a été mise à jour. Seul %2 peut exécuter le nettoyage. SYSTEM_AUDIT_LOG_UNCATEGORIZED
568 Le rôle principal de clé pour la zone %1 est %2.%3 SYSTEM_AUDIT_LOG_UNCATEGORIZED
569 Une clé sing %1 (%2) Descriptor a été ajoutée à la zone %3 avec les propriétés suivantes: KeyId=%4; KeyType=%5; CurrentState=%6; KeyStorageProvider=%7; StoreKeysInAD=%8; CryptoAlgorithm=%9; KeyLength=%10; DnKeyKeyKey; %%=%=%=6; ;;%=%=;;=%===...==%1=%=%=%=%=%=%6%%3%%6% que celle_%=%=%=5%=%1Est%=%=Est%=%=Est=%=Est=%=est qui se termine par deux %. La zone sera de nouveau signée avec le %2 généré avec ces propriétés. SYSTEM_AUDIT_LOG_UNCATEGORIZED
570 Un descripteur de clé chantée %1 (%2) avec GUID %3 a été mis à jour sur la zone %4. Les propriétés de ce descripteur %2 ont été définies sur : KeyId=%5; KeyType=%6; CurrentState=%7; KeyStorageProvider=%8; StoreKeysInAD=%9; CryptoAlgorithm=%10; KeyLength=%11; DnsKeySignatureValidityPeriod=%12; DSSignatureValidityPeriod=%13; ZoneSignatureValid%Period=%Du1%=%1=%12;%=2=2;;%==%=%==%=%=%=%=%23%%24%23 % : 1 estelle ;(20-25%2020%20202016). La zone sera de nouveau signée avec le %2 généré avec ces propriétés. SYSTEM_AUDIT_LOG_UNCATEGORIZED
571 Une clé de chant %1 (%2) du descripteur %4 a été supprimée de la zone %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
572 L'état de la clé de signature %1 (%2) %3 a été modifié sur la zone %4. La nouvelle clé active est %5, la clé de secours est %6 et la clé suivante est %7. SYSTEM_AUDIT_LOG_UNCATEGORIZED
573 Une délégation pour %1 dans le champ d'application %2 de la zone %3 avec le serveur de noms %4 a été ajoutée. SYSTEM_AUDIT_LOG_UNCATEGORIZED
574 L'enregistrement de sous-réseau client nommé %1 valeur %2 a été ajouté au mappage du sous-réseau client. SYSTEM_AUDIT_LOG_UNCATEGORIZED
575 L'enregistrement de sous-réseau client nommé %1 a été supprimé de la carte de sous-réseau client. SYSTEM_AUDIT_LOG_UNCATEGORIZED
576 L'enregistrement de sous-réseau client associé au nom %1 a été mis à jour à partir du mappage de sous-réseau client. Les nouveaux sous-réseaux clients auxquels il fait référence sont %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
577 Une règle de niveau serveur %6 pour %1 a été créée sur le serveur %2 avec les propriétés suivantes: ProcessingOrder:%3; Criteria:%4; Action:%5. PARAMTRES_CREATION
578 Une règle au niveau de la zone %8 a été créée pour la zone %1 sur le serveur %2 avec les propriétés suivantes: ProcessingOrder:%3; Criteria:%4; Action:%5; Scopes:%7. PARAMTRES_CREATION
579 Une règle de transfert %6 a été créée sur le serveur %2 avec les propriétés suivantes: ProcessingOrder:%3; Criteria:%4; Action:%5; Scope:%1. PARAMTRES_CREATION
580 La règle au niveau du serveur %1 a été supprimée du serveur %2. PARAMTRES_DELETION
581 La règle au niveau de la zone %1 a été supprimée de la zone %3 sur le serveur %2. PARAMTRES_DELETION
582 La règle de transfert %1 a été supprimée du serveur %2. PARAMTRES_DELETION