Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i dati di Microsoft Windows DNS

Questo documento:

Descrive l'architettura di deployment e i passaggi per l'installazione, oltre a qualsiasi configurazione obbligatoria che generi log supportati dagli eventi DNS di Chronicle per Microsoft Windows. Per una panoramica dell'importazione dei dati Chronicle, consulta Importazione dei dati in Chronicle.
Include informazioni su come l'analizzatore sintattico mappa i campi nel log originale ai campi del modello di dati unificati Chronicle.

Le informazioni contenute in questo documento si applicano all'analizzatore sintattico con l'etichetta di importazione WINDOWS_DNS. L'etichetta di importazione identifica quale analizzatore sintattico normalizza i dati di log non elaborati nel formato UDM strutturato.

Prima di iniziare

Esamina l'architettura di deployment consigliata.

Il seguente diagramma illustra i componenti principali consigliati in una architettura di deployment per raccogliere e inviare eventi DNS di Microsoft Windows a Chronicle. Confronta queste informazioni con il tuo ambiente per assicurarti che questi componenti siano installati. L'implementazione di ciascun cliente sarà diversa da quella indicata e potrebbe essere più complessa. È obbligatorio:
- Server DNS di Microsoft Windows con logging diagnostico DNS abilitato.
- Tutti i sistemi configurati con il fuso orario UTC
- NXLog installato su server di Microsoft Windows in cluster per raccogliere e inoltrare i log al server centrale di Microsoft Windows o Linux.
- Inoltro Chronicle installato sul server Microsoft Windows o Linux centrale.
Esamina le versioni e i dispositivi supportati.

L'analizzatore sintattico di Chronicle supporta i log delle seguenti versioni di Microsoft Windows Server. Microsoft Windows Server è disponibile con le seguenti versioni: Foundation, Essentials, Standard e Datacenter. Lo schema di eventi dei log generati da ogni edizione non cambia.
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
L'analizzatore sintattico di Chronicle supporta i log raccolti da NXLog Enterprise Edition.
Esamina i tipi di log supportati. L'analizzatore sintattico di Chronicle supporta i seguenti tipi di log generati dai server DNS di Microsoft Windows. Per ulteriori informazioni su questi tipi di log, consulta la documentazione relativa a DNS Logging DNS e diagnostica. Supporta i log generati con testo in lingua inglese e non è supportato con i log generati in lingue diverse dall'inglese.
- Audit log: per una descrizione di questo tipo di log, consulta la documentazione relativa agli audit log di Microsoft Windows.
- Log di Analytics: per una descrizione di questo tipo di log, consulta la documentazione di Windows Analytics.
Configurare i server DNS di Microsoft Windows. Consulta la documentazione di Microsoft Windows per informazioni sull'installazione e l'attivazione del logging di diagnostica DNS.
Installa e configura il server Central Windows o Linux.
Configura tutti i sistemi con il fuso orario UTC.

Configura l'inoltro NXLog e Chronicle

Installa NXLog su ogni server DNS di Microsoft Windows. Segui la documentazione di NXLog.

Crea un file di configurazione per ogni istanza NXLog. Utilizza il modulo di input im_etw per estrarre i log di analisi dei dati DNS e il modulo di input im_msvistalog per i log di controllo.

Per ulteriori informazioni sul modulo di input im_etw, consulta la sezione Event Tracing for Microsoft Windows (im_etw), incluse le informazioni sulla configurazione di NXLog per Microsoft Windows DNS.
Per ulteriori informazioni sul modulo di input im_msvistalog, consulta Log eventi per Microsoft Windows 2008/Vista e versioni successive (im_msvistalog).

Di seguito è riportata una configurazione di esempio di NXLog. Sostituisci i valori <hostname> e <port> con informazioni sul server centrale di Microsoft Windows o Linux. Per convertire e analizzare i log in JSON, anziché in formato XML, modifica la riga Exec to_xml(); in Exec to_json();. Per saperne di più, consulta la documentazione NXLog sul modulo om_tcp.

define ROOT C:\Program Files\nxlog
define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname>
define WINDNS_OUTPUT_DESTINATION_PORT <port>

Moduledir   %ROOT%\modules
CacheDir    %ROOT%\data
Pidfile     %ROOT%\data\nxlog.pid
SpoolDir    %ROOT%\data
LogFile     %ROOT%\data\nxlog.log

<Extension syslog>
    Module      xm_syslog
</Extension>

# To collect XML logs, use the below NXLog module
<Extension xml>
    Module      xm_xml
</Extension>

# To collect JSON logs, use the below NXLog module
<Extension json>
    Module      xm_json
</Extension>

<Input eventlog>
    Module      im_etw
    Provider    Microsoft-Windows-DNSServer
</Input>

<Input auditeventlog>
    Module      im_msvistalog
    <QueryXML>
        <QueryList>
            <Query Id="0" Path="Microsoft-Windows-DNSServer/Audit">
                <Select Path="Microsoft-Windows-DNSServer/Audit">*</Select>
            </Query>
        </QueryList>
    </QueryXML>
</Input>

<Output out_chronicle_windns>
    Module      om_tcp
    Host        %WINDNS_OUTPUT_DESTINATION_ADDRESS%
    Port        %WINDNS_OUTPUT_DESTINATION_PORT%
    Exec        $EventTime = integer($EventTime) / 1000;
    Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
    Exec        to_xml(); # To collect JSON, use to_json()
</Output>

<Route analytical_windns_to_chronicle>
    Path    eventlog => out_chronicle_windns
</Route>

<Route audit_windns_to_chronicle>
    Path    auditeventlog => out_chronicle_windns
</Route>

Installa lo strumento di inoltro Chronicle sul server centrale di Microsoft Windows o Linux. Per informazioni sull'installazione e la configurazione dell'inoltro, consulta Installare e configurare lo strumento di inoltro su Linux o Installare e configurare lo strumento di inoltro su Microsoft Windows.

Configura lo strumento di inoltro di Chronicle per inviare i log a Chronicle. Ecco una configurazione di esempio.

  - syslog:
      common:
        enabled: true
        data_type: WINDOWS_DNS
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60

Riferimento per la mappatura dei campi: campi dei log del dispositivo nei campi UDM

In questa sezione viene descritto in che modo l'analizzatore sintattico mappa i campi di log del dispositivo originali ai campi UDM (Unified Data Model).

Campi comuni

Campo NXLog	Campo UDM	Commenta
SourceName	metadata.vendor_name = "Microsoft" metadata.product_name = "Windows DNS Server"
ID evento	security_result.rule_name [nome_regola_di_sicurezza]	Archiviato come "EventID: {9/}EventID}. In eventi con livello Errore e Avviso, il campo is_alert è impostato su true.
Gravità	security_result.severity	I valori sono mappati alla enumerazione di campo UDM come segue: 0 (Nessuno) - UNKNOWN_SEVERITY 1 (Critico) - INFORMATIONAL 2 (Errore) - ERROR 3 (Avviso) - ERRORE 4 (informativo) - INFORMATIONAL 5 (dettagliato) - INFORMATIONAL
OraEvento	metadata.event_timestamp
ExecutionProcessID	entità.process.pid / target.process.pid	Valore memorizzato in target.process.pid per i seguenti ID evento 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Valore memorizzato in entità.process.pid per tutti gli altri ID evento.
Canale	metadata.product_event_type [categoria]
Nome host	nome.host / nome.target	Valore memorizzato nel target.Hostname per i seguenti ID evento: 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Valore memorizzato nel nome host di entità da tutti gli altri ID evento.
ID utente	entità.user.windows_sid / target.user.windows_sid	Archiviato in target.user.windows_sid per i seguenti ID evento: 256, 259, 261, 263, 266, 268, 270, 272,273, 275, 278, 279, 280. Archiviato in entità.user.windows_sid per tutti gli altri ID evento

Log di analisi

Campo del log originale	Campo UDM	Commenta
AA	network.dns.authoritative
Destinazione	target.ip / entità.ip	Completato in entità e target.
IP interfaccia	target.ip / entità.ip	Archivia l'indirizzo IP del server DNS in target.ip per i seguenti ID evento, 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Archiviato in entità.ip per tutti gli altri ID evento (risposta DNS).
DatiPacchetti	network.dns.answers.binary_data
Porta	target.port / entità.port
NOME QNAME	network.dns.questions.name
QTYPE	network.dns.questions.type
CODICE	network.dns.response_code
RD	network.dns.recursion_desired
Motivo	security_result.summary
Origine	entità.ip / target.ip	Indirizzo IPv4/IPv6 di origine del computer che ha avviato la richiesta DNS. Archiviato in target.ip per l'ID evento 274. Archiviato in target.ip per l'ID evento 265 e 269, InterfaceIP contiene l'indirizzo IP del server secondario (principal) e Source (target) è l'indirizzo IP del server principale.
TCP	network.ip_protocol
XID	network.dns.id

Audit log

Campo del log originale	Campo UDM	Nota
Nome	target.resource.name	Il valore viene raccolto dagli eventi con l'ID evento 512.
Criterio	target.resource.name	Il valore viene raccolto dagli eventi con ID evento 577, 578, 579, 580, 581 e 582, che sono mappati ai tipi di evento SETTING_*.
NOME QNAME	network.dns.questions.name
QTYPE	network.dns.questions.type
RecursionScope	target.resource.name	Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Ambito	target.resource.name	Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Impostazione	target.resource.name	Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Origine	entità.ip
Zona	target.resource.name	Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Ambito zona	target.resource.name	Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.

Riferimento per la mappatura dei campi: da evento ID a tipo di evento UDM

Questa sezione descrive come l'analizzatore sintattico mappa gli ID evento a event_type UDM. In generale, gli eventi vengono mappati a metadata NETWORK_DNS metadata.event_type, ad eccezione degli ID evento nella sezione seguente.

ID evento	Testo dell'evento	Tipo di evento UDM	Note
275	XFR_NOTIFY_ACK_IN: Sorgente=%1; InterfacciaIP=%2; PacketData=%4	EVENTO GENERICO
276	IXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10	EVENTO GENERICO
512		impostazione_CREAZIONE
513	La zona %1 è stata eliminata.	impostazione_DELETION
514	La zona %1 è stata aggiornata. L'impostazione %2 è stata impostata su %3.	impostazione_MODIFICA
515	Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato creato nell'ambito %7 della zona %6.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
516	Un record di risorsa di tipo %1, nome %2 e RDATA %5 è stato eliminato dall'ambito %7 della zona %6.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
517	Tutti i record di risorse di tipo %1, nome %2 sono stati eliminati dall'ambito %4 della zona %3.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
518	Tutti i record di risorse nel nome del nodo %1 sono stati eliminati dall'ambito %3 della zona %2.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
519	Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato creato nell'ambito %7 della zona %6 tramite aggiornamento dinamico dall'indirizzo IP %8.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
520	Un record di risorsa di tipo %1, nome %2 e RDATA %5 è stato eliminato dall'ambito %7 della zona %6 tramite aggiornamento dinamico dall'indirizzo IP %8.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
521	Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato recuperato dall'ambito %7 della zona %6.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
522	L'ambito %1 è stato creato nella zona %2.	impostazione_CREAZIONE
523	L'ambito %1 è stato eliminato nella zona %2.	impostazione_DELETION
525	La zona %1 è stata firmata con le seguenti proprietà: DenialOfExistence=%2; DistributeTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; DSRecordSetTtl=%1; %1; Funzione per Funzione intera commerciale; intera commerciale; Include sia l'1, l'intera risorsa e i destinatari di facilitati; %1;	SYSTEM_AUDIT_LOG_UNCATEGORIZED
526	La firma della zona %1 è stata annullata.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
527	La zona %1 è stata nuovamente firmata con le seguenti proprietà: DenialOfExistence=%2; DistributeTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; IsKeyMaster %1; %S;	SYSTEM_AUDIT_LOG_UNCATEGORIZED
528	Il rollback è stato avviato sul tipo %1 con GUID %2 della zona %3.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
529	È stato completato il rollover sul tipo %1 con GUID %2 della zona %3.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
530	Il tipo %1 con GUID %2 della zona %3 è stato contrassegnato per il recesso. La chiave verrà rimossa dopo il completamento del rollback.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
531	È stato attivato il rollback manuale sul tipo %1 con GUID %2 della zona %3.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
533	La chiave di firma delle chiavi con GUID %1 nella zona %2 in attesa di un aggiornamento del firmatario della delega(DS) sul padre è stata forzata a passare al completamento del rollback.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
534	I metadati dell'impostazione DNSSEC sono stati esportati %1 metadati delle chiavi di firma della chiave dalla zona %2.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
535	I metadati dell'impostazione DNSSEC sono stati importati nella zona %1.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
536	Un record di tipo %1, QNAME %2 è stato eliminato definitivamente dall'ambito %3 nella cache.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
537	L'elenco di inoltro sull'ambito %2 è stato reimpostato su %1.	impostazione_MODIFICA	target.resource.name è impostato su "Forwarder list on scope:{9/}scope_name}"
540	I suggerimenti principali sono stati modificati.	impostazione_MODIFICA	target.resource.name compilato con testo "Root hints"
541	L'impostazione %1 nell'ambito %2 è stata impostata su %3.	impostazione_MODIFICA
542	L'ambito %1 del server DNS è stato creato.	impostazione_CREAZIONE
543	L'ambito %1 del server DNS è stato eliminato.	impostazione_DELETION
544	Al punto di attendibilità è stata aggiunta la chiave KEY DNS con protocollo chiave %2, dati Base64 %4 e algoritmo di crittografia %5.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
545	DS con tag chiave: %2, Tipo di digest: %3, Digest: %5 e Algoritmo di crittografia: %6 è stato aggiunto al punto di attendibilità %1.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
546	Il punto di attendibilità all'indirizzo %1 di tipo %2 è stato rimosso.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
547	L'anchor di attendibilità per la zona principale è stato aggiunto.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
548	Abbiamo ricevuto una richiesta di riavvio del servizio del server DNS.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
549	I log di debug sono stati cancellati da %1 sul server DNS.	SYSTEM_AUDIT_LOG_WIPE
550	I contenuti in memoria di tutte le zone sul server DNS sono stati scaricati sui rispettivi file.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
551	Tutti i dati statistici per il server DNS sono stati cancellati.	SYSTEM_AUDIT_LOG_WIPE
552	Sul server DNS è stato avviato un ciclo di distribuzione dei record di risorse.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
553	%1	SYSTEM_AUDIT_LOG_UNCATEGORIZED
554	Il ciclo di distribuzione del record di risorse è stato terminato sul server DNS.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
555	Il server DNS è stato preparato per la retrocessione rimuovendo i riferimenti a tutte le zone archiviate in Active Directory.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
556	Le informazioni sui suggerimenti radice del server DNS sono state scritte nella memoria permanente.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
557	Gli indirizzi su cui il server DNS ascolti sono stati modificati in %1.	impostazione_MODIFICA	target.resource.name compilato con testo "Indirizzi indirizzi"
558	È stato programmato un aggiornamento attivo RFC 5011 immediato per tutti i punti di attendibilità.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
559	La zona %1 è in pausa.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
560	La zona %1 è stata ripristinata.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
561	I dati relativi alla zona %1 sono stati ricaricati da %2.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
562	I dati per la zona %1 sono stati aggiornati dal server master %2.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
563	La zona secondaria %1 è scaduta e sono stati richiesti nuovi dati al server master %2.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
564	La zona %1 è stata ricaricata da Active Directory.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
565	Il contenuto della zona %1 è stato scritto sul disco e la notifica è stata inviata a tutti i server di notifica.	impostazione_MODIFICA
566	Il timestamp di invecchiamento di tutti i record DNS del nodo %1 nella zona %2 sarà impostato sull'ora attuale.%3	SYSTEM_AUDIT_LOG_UNCATEGORIZED
567	La zona integrata con Active Directory %1 è stata aggiornata. Solo %2 può eseguire lo scarla.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
568	Il ruolo master chiave per la zona %1 è stato %2.%3	SYSTEM_AUDIT_LOG_UNCATEGORIZED
569	Descrittore %1 singing key (%2) è stato aggiunto alla zona %3 con le seguenti proprietà: KeyId=%4; KeyType=%5; CurrentState=%6; KeyStorageProvider=%7; StoreKeysInAD=%8; CryptoAlgorithm=%9; KeyLength=%10; DnsKeyPeriods; %1 = 1; 1 piani La zona verrà firmata di nuovo con la macro %2 generata con queste proprietà.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
570	Un descrittore della chiave di canto %1 (%2) con GUID %3 è stato aggiornato nella zona %4. Le proprietà di questo descrittore %2 sono state impostate su: KeyId=%5; KeyType=%6; CurrentState=%7; KeyStorageProvider=%8; StoreKeysInAD=%9; CryptoAlgorithm=%10; KeyLength=%11; 1, 1, 1, 1%; 1, 1, 1, 1, 1, 1, 1 si incluso; 1, 1; 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 Includente; 1 Include La zona verrà firmata di nuovo con la macro %2 generata con queste proprietà.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
571	Un descrittore della chiave di canto %1 (%2) è stato rimosso dalla zona %3.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
572	Lo stato della chiave di firma %1 (%2) %3 è stato modificato nella zona %4. La nuova chiave attiva è %5, la chiave di standby è %6 e la chiave successiva è %7.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
573	È stata aggiunta una delega per %1 nell'ambito %2 della zona %3 con il server dei nomi %4.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
574	Il record di subnet client con nome %1 valore %2 è stato aggiunto alla mappa di subnet client.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
575	Il record di subnet client con nome %1 è stato eliminato dalla mappa delle subnet client.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
576	Il record di subnet client con nome %1 è stato aggiornato dalla mappa di subnet client. Le nuove subnet client a cui fa riferimento sono %2.	SYSTEM_AUDIT_LOG_UNCATEGORIZED
577	Un criterio a livello di server %6 per %1 è stato creato sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Azione:%5.	impostazione_CREAZIONE
578	È stato creato un criterio a livello di zona %8 per %1 sulla zona %6 sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Action:%5; Ambito:%7.	impostazione_CREAZIONE
579	È stato creato un criterio di forwarding %6 sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Azione:%5; Ambito:%1.	impostazione_CREAZIONE
580	Il criterio a livello di server %1 è stato eliminato dal server %2.	impostazione_DELETION
581	Il criterio a livello di zona %1 è stato eliminato dalla zona %3 sul server %2.	impostazione_DELETION
582	Il criterio di inoltro %1 è stato eliminato dal server %2.	impostazione_DELETION