Raccogliere i dati di Microsoft Windows DNS
Questo documento:
- Descrive l'architettura di deployment e i passaggi per l'installazione, oltre a qualsiasi configurazione obbligatoria che generi log supportati dagli eventi DNS di Chronicle per Microsoft Windows. Per una panoramica dell'importazione dei dati Chronicle, consulta Importazione dei dati in Chronicle.
- Include informazioni su come l'analizzatore sintattico mappa i campi nel log originale ai campi del modello di dati unificati Chronicle.
Le informazioni contenute in questo documento si applicano all'analizzatore sintattico con l'etichetta di importazione WINDOWS_DNS. L'etichetta di importazione identifica quale analizzatore sintattico normalizza i dati di log non elaborati nel formato UDM strutturato.
Prima di iniziare
Esamina l'architettura di deployment consigliata.
Il seguente diagramma illustra i componenti principali consigliati in una architettura di deployment per raccogliere e inviare eventi DNS di Microsoft Windows a Chronicle. Confronta queste informazioni con il tuo ambiente per assicurarti che questi componenti siano installati. L'implementazione di ciascun cliente sarà diversa da quella indicata e potrebbe essere più complessa. È obbligatorio:
- Server DNS di Microsoft Windows con logging diagnostico DNS abilitato.
- Tutti i sistemi configurati con il fuso orario UTC
- NXLog installato su server di Microsoft Windows in cluster per raccogliere e inoltrare i log al server centrale di Microsoft Windows o Linux.
- Inoltro Chronicle installato sul server Microsoft Windows o Linux centrale.
Esamina le versioni e i dispositivi supportati.
L'analizzatore sintattico di Chronicle supporta i log delle seguenti versioni di Microsoft Windows Server. Microsoft Windows Server è disponibile con le seguenti versioni: Foundation, Essentials, Standard e Datacenter. Lo schema di eventi dei log generati da ogni edizione non cambia.
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
L'analizzatore sintattico di Chronicle supporta i log raccolti da NXLog Enterprise Edition.
Esamina i tipi di log supportati. L'analizzatore sintattico di Chronicle supporta i seguenti tipi di log generati dai server DNS di Microsoft Windows. Per ulteriori informazioni su questi tipi di log, consulta la documentazione relativa a DNS Logging DNS e diagnostica. Supporta i log generati con testo in lingua inglese e non è supportato con i log generati in lingue diverse dall'inglese.
- Audit log: per una descrizione di questo tipo di log, consulta la documentazione relativa agli audit log di Microsoft Windows.
- Log di Analytics: per una descrizione di questo tipo di log, consulta la documentazione di Windows Analytics.
Configurare i server DNS di Microsoft Windows. Consulta la documentazione di Microsoft Windows per informazioni sull'installazione e l'attivazione del logging di diagnostica DNS.
Installa e configura il server Central Windows o Linux.
Configura tutti i sistemi con il fuso orario UTC.
Configura l'inoltro NXLog e Chronicle
- Installa NXLog su ogni server DNS di Microsoft Windows. Segui la documentazione di NXLog.
Crea un file di configurazione per ogni istanza NXLog. Utilizza il modulo di input im_etw per estrarre i log di analisi dei dati DNS e il modulo di input im_msvistalog per i log di controllo.
- Per ulteriori informazioni sul modulo di input im_etw, consulta la sezione Event Tracing for Microsoft Windows (im_etw), incluse le informazioni sulla configurazione di NXLog per Microsoft Windows DNS.
- Per ulteriori informazioni sul modulo di input im_msvistalog, consulta Log eventi per Microsoft Windows 2008/Vista e versioni successive (im_msvistalog).
Di seguito è riportata una configurazione di esempio di NXLog. Sostituisci i valori
<hostname>
e<port>
con informazioni sul server centrale di Microsoft Windows o Linux. Per convertire e analizzare i log in JSON, anziché in formato XML, modifica la rigaExec to_xml();
inExec to_json();
. Per saperne di più, consulta la documentazione NXLog sul modulo om_tcp.define ROOT C:\Program Files\nxlog define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname> define WINDNS_OUTPUT_DESTINATION_PORT <port> Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension syslog> Module xm_syslog </Extension> # To collect XML logs, use the below NXLog module <Extension xml> Module xm_xml </Extension> # To collect JSON logs, use the below NXLog module <Extension json> Module xm_json </Extension> <Input eventlog> Module im_etw Provider Microsoft-Windows-DNSServer </Input> <Input auditeventlog> Module im_msvistalog <QueryXML> <QueryList> <Query Id="0" Path="Microsoft-Windows-DNSServer/Audit"> <Select Path="Microsoft-Windows-DNSServer/Audit">*</Select> </Query> </QueryList> </QueryXML> </Input> <Output out_chronicle_windns> Module om_tcp Host %WINDNS_OUTPUT_DESTINATION_ADDRESS% Port %WINDNS_OUTPUT_DESTINATION_PORT% Exec $EventTime = integer($EventTime) / 1000; Exec $EventReceivedTime = integer($EventReceivedTime) / 1000; Exec to_xml(); # To collect JSON, use to_json() </Output> <Route analytical_windns_to_chronicle> Path eventlog => out_chronicle_windns </Route> <Route audit_windns_to_chronicle> Path auditeventlog => out_chronicle_windns </Route>
Installa lo strumento di inoltro Chronicle sul server centrale di Microsoft Windows o Linux. Per informazioni sull'installazione e la configurazione dell'inoltro, consulta Installare e configurare lo strumento di inoltro su Linux o Installare e configurare lo strumento di inoltro su Microsoft Windows.
Configura lo strumento di inoltro di Chronicle per inviare i log a Chronicle. Ecco una configurazione di esempio.
- syslog: common: enabled: true data_type: WINDOWS_DNS batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Riferimento per la mappatura dei campi: campi dei log del dispositivo nei campi UDM
In questa sezione viene descritto in che modo l'analizzatore sintattico mappa i campi di log del dispositivo originali ai campi UDM (Unified Data Model).
Campi comuni
Campo NXLog | Campo UDM | Commenta |
---|---|---|
SourceName | metadata.vendor_name = "Microsoft" metadata.product_name = "Windows DNS Server" |
|
ID evento | security_result.rule_name [nome_regola_di_sicurezza] | Archiviato come "EventID: {9/}EventID}. In eventi con livello Errore e Avviso, il campo is_alert è impostato su true. |
Gravità | security_result.severity | I valori sono mappati alla enumerazione di campo UDM come segue: 0 (Nessuno) - UNKNOWN_SEVERITY 1 (Critico) - INFORMATIONAL 2 (Errore) - ERROR 3 (Avviso) - ERRORE 4 (informativo) - INFORMATIONAL 5 (dettagliato) - INFORMATIONAL |
OraEvento | metadata.event_timestamp | |
ExecutionProcessID | entità.process.pid / target.process.pid | Valore memorizzato in target.process.pid per i seguenti ID evento 256, 259,
261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Valore memorizzato in entità.process.pid per tutti gli altri ID evento. |
Canale | metadata.product_event_type [categoria] | |
Nome host | nome.host / nome.target | Valore memorizzato nel target.Hostname per i seguenti ID evento: 256, 259, 261,
263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Valore memorizzato nel nome host di entità da tutti gli altri ID evento. |
ID utente | entità.user.windows_sid / target.user.windows_sid | Archiviato in target.user.windows_sid per i seguenti ID evento: 256, 259, 261, 263, 266, 268, 270, 272,273, 275, 278, 279, 280. Archiviato in entità.user.windows_sid per tutti gli altri ID evento |
Log di analisi
Campo del log originale | Campo UDM | Commenta |
---|---|---|
AA | network.dns.authoritative | |
Destinazione | target.ip / entità.ip | Completato in entità e target. |
IP interfaccia | target.ip / entità.ip | Archivia l'indirizzo IP del server DNS in target.ip per i seguenti ID evento, 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Archiviato in entità.ip per tutti gli altri ID evento (risposta DNS). |
DatiPacchetti | network.dns.answers.binary_data | |
Porta | target.port / entità.port | |
NOME QNAME | network.dns.questions.name | |
QTYPE | network.dns.questions.type | |
CODICE | network.dns.response_code | |
RD | network.dns.recursion_desired | |
Motivo | security_result.summary | |
Origine | entità.ip / target.ip | Indirizzo IPv4/IPv6 di origine del computer che ha avviato la richiesta DNS. Archiviato in target.ip per l'ID evento 274. Archiviato in target.ip per l'ID evento 265 e 269, InterfaceIP contiene l'indirizzo IP del server secondario (principal) e Source (target) è l'indirizzo IP del server principale. |
TCP | network.ip_protocol | |
XID | network.dns.id |
Audit log
Campo del log originale | Campo UDM | Nota |
---|---|---|
Nome | target.resource.name | Il valore viene raccolto dagli eventi con l'ID evento 512. |
Criterio | target.resource.name | Il valore viene raccolto dagli eventi con ID evento 577, 578, 579, 580, 581 e 582, che sono mappati ai tipi di evento SETTING_*. |
NOME QNAME | network.dns.questions.name | |
QTYPE | network.dns.questions.type | |
RecursionScope | target.resource.name | Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*. |
Ambito | target.resource.name | Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*. |
Impostazione | target.resource.name | Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*. |
Origine | entità.ip | |
Zona | target.resource.name | Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*. |
Ambito zona | target.resource.name | Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*. |
Riferimento per la mappatura dei campi: da evento ID a tipo di evento UDM
Questa sezione descrive come l'analizzatore sintattico mappa gli ID evento a event_type UDM. In generale, gli eventi vengono mappati a metadata NETWORK_DNS metadata.event_type, ad eccezione degli ID evento nella sezione seguente.
ID evento | Testo dell'evento | Tipo di evento UDM | Note |
---|---|---|---|
275 | XFR_NOTIFY_ACK_IN: Sorgente=%1; InterfacciaIP=%2; PacketData=%4 | EVENTO GENERICO | |
276 | IXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10 | EVENTO GENERICO | |
512 | impostazione_CREAZIONE | ||
513 | La zona %1 è stata eliminata. | impostazione_DELETION | |
514 | La zona %1 è stata aggiornata. L'impostazione %2 è stata impostata su %3. | impostazione_MODIFICA | |
515 | Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato creato nell'ambito %7 della zona %6. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
516 | Un record di risorsa di tipo %1, nome %2 e RDATA %5 è stato eliminato dall'ambito %7 della zona %6. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
517 | Tutti i record di risorse di tipo %1, nome %2 sono stati eliminati dall'ambito %4 della zona %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
518 | Tutti i record di risorse nel nome del nodo %1 sono stati eliminati dall'ambito %3 della zona %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
519 | Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato creato nell'ambito %7 della zona %6 tramite aggiornamento dinamico dall'indirizzo IP %8. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
520 | Un record di risorsa di tipo %1, nome %2 e RDATA %5 è stato eliminato dall'ambito %7 della zona %6 tramite aggiornamento dinamico dall'indirizzo IP %8. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
521 | Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato recuperato dall'ambito %7 della zona %6. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
522 | L'ambito %1 è stato creato nella zona %2. | impostazione_CREAZIONE | |
523 | L'ambito %1 è stato eliminato nella zona %2. | impostazione_DELETION | |
525 | La zona %1 è stata firmata con le seguenti proprietà: DenialOfExistence=%2; DistributeTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; DSRecordSetTtl=%1; %1; Funzione per Funzione intera commerciale; intera commerciale; Include sia l'1, l'intera risorsa e i destinatari di facilitati; %1; | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
526 | La firma della zona %1 è stata annullata. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
527 | La zona %1 è stata nuovamente firmata con le seguenti proprietà: DenialOfExistence=%2; DistributeTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; IsKeyMaster %1; %S; | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
528 | Il rollback è stato avviato sul tipo %1 con GUID %2 della zona %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
529 | È stato completato il rollover sul tipo %1 con GUID %2 della zona %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
530 | Il tipo %1 con GUID %2 della zona %3 è stato contrassegnato per il recesso. La chiave verrà rimossa dopo il completamento del rollback. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
531 | È stato attivato il rollback manuale sul tipo %1 con GUID %2 della zona %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
533 | La chiave di firma delle chiavi con GUID %1 nella zona %2 in attesa di un aggiornamento del firmatario della delega(DS) sul padre è stata forzata a passare al completamento del rollback. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
534 | I metadati dell'impostazione DNSSEC sono stati esportati %1 metadati delle chiavi di firma della chiave dalla zona %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
535 | I metadati dell'impostazione DNSSEC sono stati importati nella zona %1. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
536 | Un record di tipo %1, QNAME %2 è stato eliminato definitivamente dall'ambito %3 nella cache. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
537 | L'elenco di inoltro sull'ambito %2 è stato reimpostato su %1. | impostazione_MODIFICA | target.resource.name è impostato su "Forwarder list on scope:{9/}scope_name}" |
540 | I suggerimenti principali sono stati modificati. | impostazione_MODIFICA | target.resource.name compilato con testo "Root hints" |
541 | L'impostazione %1 nell'ambito %2 è stata impostata su %3. | impostazione_MODIFICA | |
542 | L'ambito %1 del server DNS è stato creato. | impostazione_CREAZIONE | |
543 | L'ambito %1 del server DNS è stato eliminato. | impostazione_DELETION | |
544 | Al punto di attendibilità è stata aggiunta la chiave KEY DNS con protocollo chiave %2, dati Base64 %4 e algoritmo di crittografia %5. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
545 | DS con tag chiave: %2, Tipo di digest: %3, Digest: %5 e Algoritmo di crittografia: %6 è stato aggiunto al punto di attendibilità %1. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
546 | Il punto di attendibilità all'indirizzo %1 di tipo %2 è stato rimosso. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
547 | L'anchor di attendibilità per la zona principale è stato aggiunto. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
548 | Abbiamo ricevuto una richiesta di riavvio del servizio del server DNS. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
549 | I log di debug sono stati cancellati da %1 sul server DNS. | SYSTEM_AUDIT_LOG_WIPE | |
550 | I contenuti in memoria di tutte le zone sul server DNS sono stati scaricati sui rispettivi file. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
551 | Tutti i dati statistici per il server DNS sono stati cancellati. | SYSTEM_AUDIT_LOG_WIPE | |
552 | Sul server DNS è stato avviato un ciclo di distribuzione dei record di risorse. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
553 | %1 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
554 | Il ciclo di distribuzione del record di risorse è stato terminato sul server DNS. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
555 | Il server DNS è stato preparato per la retrocessione rimuovendo i riferimenti a tutte le zone archiviate in Active Directory. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
556 | Le informazioni sui suggerimenti radice del server DNS sono state scritte nella memoria permanente. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
557 | Gli indirizzi su cui il server DNS ascolti sono stati modificati in %1. | impostazione_MODIFICA | target.resource.name compilato con testo "Indirizzi indirizzi" |
558 | È stato programmato un aggiornamento attivo RFC 5011 immediato per tutti i punti di attendibilità. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
559 | La zona %1 è in pausa. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
560 | La zona %1 è stata ripristinata. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
561 | I dati relativi alla zona %1 sono stati ricaricati da %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
562 | I dati per la zona %1 sono stati aggiornati dal server master %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
563 | La zona secondaria %1 è scaduta e sono stati richiesti nuovi dati al server master %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
564 | La zona %1 è stata ricaricata da Active Directory. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
565 | Il contenuto della zona %1 è stato scritto sul disco e la notifica è stata inviata a tutti i server di notifica. | impostazione_MODIFICA | |
566 | Il timestamp di invecchiamento di tutti i record DNS del nodo %1 nella zona %2 sarà impostato sull'ora attuale.%3 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
567 | La zona integrata con Active Directory %1 è stata aggiornata. Solo %2 può eseguire lo scarla. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
568 | Il ruolo master chiave per la zona %1 è stato %2.%3 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
569 | Descrittore %1 singing key (%2) è stato aggiunto alla zona %3 con le seguenti proprietà: KeyId=%4; KeyType=%5; CurrentState=%6; KeyStorageProvider=%7; StoreKeysInAD=%8; CryptoAlgorithm=%9; KeyLength=%10; DnsKeyPeriods; %1 = 1; 1 piani La zona verrà firmata di nuovo con la macro %2 generata con queste proprietà. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
570 | Un descrittore della chiave di canto %1 (%2) con GUID %3 è stato aggiornato nella zona %4. Le proprietà di questo descrittore %2 sono state impostate su: KeyId=%5; KeyType=%6; CurrentState=%7; KeyStorageProvider=%8; StoreKeysInAD=%9; CryptoAlgorithm=%10; KeyLength=%11; 1, 1, 1, 1%; 1, 1, 1, 1, 1, 1, 1 si incluso; 1, 1; 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 Includente; 1 Include La zona verrà firmata di nuovo con la macro %2 generata con queste proprietà. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
571 | Un descrittore della chiave di canto %1 (%2) è stato rimosso dalla zona %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
572 | Lo stato della chiave di firma %1 (%2) %3 è stato modificato nella zona %4. La nuova chiave attiva è %5, la chiave di standby è %6 e la chiave successiva è %7. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
573 | È stata aggiunta una delega per %1 nell'ambito %2 della zona %3 con il server dei nomi %4. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
574 | Il record di subnet client con nome %1 valore %2 è stato aggiunto alla mappa di subnet client. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
575 | Il record di subnet client con nome %1 è stato eliminato dalla mappa delle subnet client. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
576 | Il record di subnet client con nome %1 è stato aggiornato dalla mappa di subnet client. Le nuove subnet client a cui fa riferimento sono %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
577 | Un criterio a livello di server %6 per %1 è stato creato sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Azione:%5. | impostazione_CREAZIONE | |
578 | È stato creato un criterio a livello di zona %8 per %1 sulla zona %6 sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Action:%5; Ambito:%7. | impostazione_CREAZIONE | |
579 | È stato creato un criterio di forwarding %6 sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Azione:%5; Ambito:%1. | impostazione_CREAZIONE | |
580 | Il criterio a livello di server %1 è stato eliminato dal server %2. | impostazione_DELETION | |
581 | Il criterio a livello di zona %1 è stato eliminato dalla zona %3 sul server %2. | impostazione_DELETION | |
582 | Il criterio di inoltro %1 è stato eliminato dal server %2. | impostazione_DELETION |