Raccogliere i dati di Microsoft Windows DNS

Questo documento:

  • Descrive l'architettura di deployment e i passaggi per l'installazione, oltre a qualsiasi configurazione obbligatoria che generi log supportati dagli eventi DNS di Chronicle per Microsoft Windows. Per una panoramica dell'importazione dei dati Chronicle, consulta Importazione dei dati in Chronicle.
  • Include informazioni su come l'analizzatore sintattico mappa i campi nel log originale ai campi del modello di dati unificati Chronicle.

Le informazioni contenute in questo documento si applicano all'analizzatore sintattico con l'etichetta di importazione WINDOWS_DNS. L'etichetta di importazione identifica quale analizzatore sintattico normalizza i dati di log non elaborati nel formato UDM strutturato.

Prima di iniziare

  • Esamina l'architettura di deployment consigliata.

    Il seguente diagramma illustra i componenti principali consigliati in una architettura di deployment per raccogliere e inviare eventi DNS di Microsoft Windows a Chronicle. Confronta queste informazioni con il tuo ambiente per assicurarti che questi componenti siano installati. L'implementazione di ciascun cliente sarà diversa da quella indicata e potrebbe essere più complessa. È obbligatorio:

    • Server DNS di Microsoft Windows con logging diagnostico DNS abilitato.
    • Tutti i sistemi configurati con il fuso orario UTC
    • NXLog installato su server di Microsoft Windows in cluster per raccogliere e inoltrare i log al server centrale di Microsoft Windows o Linux.
    • Inoltro Chronicle installato sul server Microsoft Windows o Linux centrale.

    Architettura di deployment

  • Esamina le versioni e i dispositivi supportati.

    L'analizzatore sintattico di Chronicle supporta i log delle seguenti versioni di Microsoft Windows Server. Microsoft Windows Server è disponibile con le seguenti versioni: Foundation, Essentials, Standard e Datacenter. Lo schema di eventi dei log generati da ogni edizione non cambia.

    • Microsoft Windows Server 2019
    • Microsoft Windows Server 2016
    • Microsoft Windows Server 2012 R2

    L'analizzatore sintattico di Chronicle supporta i log raccolti da NXLog Enterprise Edition.

  • Esamina i tipi di log supportati. L'analizzatore sintattico di Chronicle supporta i seguenti tipi di log generati dai server DNS di Microsoft Windows. Per ulteriori informazioni su questi tipi di log, consulta la documentazione relativa a DNS Logging DNS e diagnostica. Supporta i log generati con testo in lingua inglese e non è supportato con i log generati in lingue diverse dall'inglese.

    • Audit log: per una descrizione di questo tipo di log, consulta la documentazione relativa agli audit log di Microsoft Windows.
    • Log di Analytics: per una descrizione di questo tipo di log, consulta la documentazione di Windows Analytics.
  • Configurare i server DNS di Microsoft Windows. Consulta la documentazione di Microsoft Windows per informazioni sull'installazione e l'attivazione del logging di diagnostica DNS.

  • Installa e configura il server Central Windows o Linux.

  • Configura tutti i sistemi con il fuso orario UTC.

Configura l'inoltro NXLog e Chronicle

  1. Installa NXLog su ogni server DNS di Microsoft Windows. Segui la documentazione di NXLog.
  2. Crea un file di configurazione per ogni istanza NXLog. Utilizza il modulo di input im_etw per estrarre i log di analisi dei dati DNS e il modulo di input im_msvistalog per i log di controllo.

    Di seguito è riportata una configurazione di esempio di NXLog. Sostituisci i valori <hostname> e <port> con informazioni sul server centrale di Microsoft Windows o Linux. Per convertire e analizzare i log in JSON, anziché in formato XML, modifica la riga Exec to_xml(); in Exec to_json();. Per saperne di più, consulta la documentazione NXLog sul modulo om_tcp.

    define ROOT C:\Program Files\nxlog
    define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname>
    define WINDNS_OUTPUT_DESTINATION_PORT <port>
    
    Moduledir   %ROOT%\modules
    CacheDir    %ROOT%\data
    Pidfile     %ROOT%\data\nxlog.pid
    SpoolDir    %ROOT%\data
    LogFile     %ROOT%\data\nxlog.log
    
    <Extension syslog>
        Module      xm_syslog
    </Extension>
    
    # To collect XML logs, use the below NXLog module
    <Extension xml>
        Module      xm_xml
    </Extension>
    
    # To collect JSON logs, use the below NXLog module
    <Extension json>
        Module      xm_json
    </Extension>
    
    <Input eventlog>
        Module      im_etw
        Provider    Microsoft-Windows-DNSServer
    </Input>
    
    <Input auditeventlog>
        Module      im_msvistalog
        <QueryXML>
            <QueryList>
                <Query Id="0" Path="Microsoft-Windows-DNSServer/Audit">
                    <Select Path="Microsoft-Windows-DNSServer/Audit">*</Select>
                </Query>
            </QueryList>
        </QueryXML>
    </Input>
    
    <Output out_chronicle_windns>
        Module      om_tcp
        Host        %WINDNS_OUTPUT_DESTINATION_ADDRESS%
        Port        %WINDNS_OUTPUT_DESTINATION_PORT%
        Exec        $EventTime = integer($EventTime) / 1000;
        Exec        $EventReceivedTime = integer($EventReceivedTime) / 1000;
        Exec        to_xml(); # To collect JSON, use to_json()
    </Output>
    
    <Route analytical_windns_to_chronicle>
        Path    eventlog => out_chronicle_windns
    </Route>
    
    <Route audit_windns_to_chronicle>
        Path    auditeventlog => out_chronicle_windns
    </Route>
    
  3. Installa lo strumento di inoltro Chronicle sul server centrale di Microsoft Windows o Linux. Per informazioni sull'installazione e la configurazione dell'inoltro, consulta Installare e configurare lo strumento di inoltro su Linux o Installare e configurare lo strumento di inoltro su Microsoft Windows.

  4. Configura lo strumento di inoltro di Chronicle per inviare i log a Chronicle. Ecco una configurazione di esempio.

      - syslog:
          common:
            enabled: true
            data_type: WINDOWS_DNS
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Riferimento per la mappatura dei campi: campi dei log del dispositivo nei campi UDM

In questa sezione viene descritto in che modo l'analizzatore sintattico mappa i campi di log del dispositivo originali ai campi UDM (Unified Data Model).

Campi comuni

Campo NXLog Campo UDM Commenta
SourceName metadata.vendor_name = "Microsoft"

metadata.product_name = "Windows DNS Server"
ID evento security_result.rule_name [nome_regola_di_sicurezza] Archiviato come "EventID: {9/}EventID}. In eventi con livello Errore e Avviso, il campo is_alert è impostato su true.
Gravità security_result.severity I valori sono mappati alla enumerazione di campo UDM come segue:
0 (Nessuno) - UNKNOWN_SEVERITY
1 (Critico) - INFORMATIONAL
2 (Errore) - ERROR
3 (Avviso) - ERRORE
4 (informativo) - INFORMATIONAL
5 (dettagliato) - INFORMATIONAL
OraEvento metadata.event_timestamp
ExecutionProcessID entità.process.pid / target.process.pid Valore memorizzato in target.process.pid per i seguenti ID evento 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.
Valore memorizzato in entità.process.pid per tutti gli altri ID evento.
Canale metadata.product_event_type [categoria]
Nome host nome.host / nome.target Valore memorizzato nel target.Hostname per i seguenti ID evento: 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.

Valore memorizzato nel nome host di entità da tutti gli altri ID evento.
ID utente entità.user.windows_sid / target.user.windows_sid Archiviato in target.user.windows_sid per i seguenti ID evento: 256, 259, 261, 263, 266, 268, 270, 272,273, 275, 278, 279, 280.

Archiviato in entità.user.windows_sid per tutti gli altri ID evento

Log di analisi

Campo del log originale Campo UDM Commenta
AA network.dns.authoritative
Destinazione target.ip / entità.ip Completato in entità e target.
IP interfaccia target.ip / entità.ip Archivia l'indirizzo IP del server DNS in target.ip per i seguenti ID evento, 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280.
Archiviato in entità.ip per tutti gli altri ID evento (risposta DNS).
DatiPacchetti network.dns.answers.binary_data
Porta target.port / entità.port
NOME QNAME network.dns.questions.name
QTYPE network.dns.questions.type
CODICE network.dns.response_code
RD network.dns.recursion_desired
Motivo security_result.summary
Origine entità.ip / target.ip Indirizzo IPv4/IPv6 di origine del computer che ha avviato la richiesta DNS.
Archiviato in target.ip per l'ID evento 274. Archiviato in target.ip per l'ID evento 265 e 269, InterfaceIP contiene l'indirizzo IP del server secondario (principal) e Source (target) è l'indirizzo IP del server principale.
TCP network.ip_protocol
XID network.dns.id

Audit log

Campo del log originale Campo UDM Nota
Nome target.resource.name Il valore viene raccolto dagli eventi con l'ID evento 512.
Criterio target.resource.name Il valore viene raccolto dagli eventi con ID evento 577, 578, 579, 580, 581 e 582, che sono mappati ai tipi di evento SETTING_*.
NOME QNAME network.dns.questions.name
QTYPE network.dns.questions.type
RecursionScope target.resource.name Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Ambito target.resource.name Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Impostazione target.resource.name Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Origine entità.ip
Zona target.resource.name Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.
Ambito zona target.resource.name Il valore viene raccolto dagli eventi con ID evento mappati a tipi di eventi SETTING_*.

Riferimento per la mappatura dei campi: da evento ID a tipo di evento UDM

Questa sezione descrive come l'analizzatore sintattico mappa gli ID evento a event_type UDM. In generale, gli eventi vengono mappati a metadata NETWORK_DNS metadata.event_type, ad eccezione degli ID evento nella sezione seguente.

ID evento Testo dell'evento Tipo di evento UDM Note
275 XFR_NOTIFY_ACK_IN: Sorgente=%1; InterfacciaIP=%2; PacketData=%4 EVENTO GENERICO
276 IXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10 EVENTO GENERICO
512 impostazione_CREAZIONE
513 La zona %1 è stata eliminata. impostazione_DELETION
514 La zona %1 è stata aggiornata. L'impostazione %2 è stata impostata su %3. impostazione_MODIFICA
515 Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato creato nell'ambito %7 della zona %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
516 Un record di risorsa di tipo %1, nome %2 e RDATA %5 è stato eliminato dall'ambito %7 della zona %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
517 Tutti i record di risorse di tipo %1, nome %2 sono stati eliminati dall'ambito %4 della zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
518 Tutti i record di risorse nel nome del nodo %1 sono stati eliminati dall'ambito %3 della zona %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
519 Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato creato nell'ambito %7 della zona %6 tramite aggiornamento dinamico dall'indirizzo IP %8. SYSTEM_AUDIT_LOG_UNCATEGORIZED
520 Un record di risorsa di tipo %1, nome %2 e RDATA %5 è stato eliminato dall'ambito %7 della zona %6 tramite aggiornamento dinamico dall'indirizzo IP %8. SYSTEM_AUDIT_LOG_UNCATEGORIZED
521 Un record di risorsa di tipo %1, nome %2, TTL %3 e RDATA %5 è stato recuperato dall'ambito %7 della zona %6. SYSTEM_AUDIT_LOG_UNCATEGORIZED
522 L'ambito %1 è stato creato nella zona %2. impostazione_CREAZIONE
523 L'ambito %1 è stato eliminato nella zona %2. impostazione_DELETION
525 La zona %1 è stata firmata con le seguenti proprietà: DenialOfExistence=%2; DistributeTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; DSRecordSetTtl=%1; %1; Funzione per Funzione intera commerciale; intera commerciale; Include sia l'1, l'intera risorsa e i destinatari di facilitati; %1; SYSTEM_AUDIT_LOG_UNCATEGORIZED
526 La firma della zona %1 è stata annullata. SYSTEM_AUDIT_LOG_UNCATEGORIZED
527 La zona %1 è stata nuovamente firmata con le seguenti proprietà: DenialOfExistence=%2; DistributeTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; IsKeyMaster %1; %S; SYSTEM_AUDIT_LOG_UNCATEGORIZED
528 Il rollback è stato avviato sul tipo %1 con GUID %2 della zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
529 È stato completato il rollover sul tipo %1 con GUID %2 della zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
530 Il tipo %1 con GUID %2 della zona %3 è stato contrassegnato per il recesso. La chiave verrà rimossa dopo il completamento del rollback. SYSTEM_AUDIT_LOG_UNCATEGORIZED
531 È stato attivato il rollback manuale sul tipo %1 con GUID %2 della zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
533 La chiave di firma delle chiavi con GUID %1 nella zona %2 in attesa di un aggiornamento del firmatario della delega(DS) sul padre è stata forzata a passare al completamento del rollback. SYSTEM_AUDIT_LOG_UNCATEGORIZED
534 I metadati dell'impostazione DNSSEC sono stati esportati %1 metadati delle chiavi di firma della chiave dalla zona %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
535 I metadati dell'impostazione DNSSEC sono stati importati nella zona %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
536 Un record di tipo %1, QNAME %2 è stato eliminato definitivamente dall'ambito %3 nella cache. SYSTEM_AUDIT_LOG_UNCATEGORIZED
537 L'elenco di inoltro sull'ambito %2 è stato reimpostato su %1. impostazione_MODIFICA target.resource.name è impostato su "Forwarder list on scope:{9/}scope_name}"
540 I suggerimenti principali sono stati modificati. impostazione_MODIFICA target.resource.name compilato con testo "Root hints"
541 L'impostazione %1 nell'ambito %2 è stata impostata su %3. impostazione_MODIFICA
542 L'ambito %1 del server DNS è stato creato. impostazione_CREAZIONE
543 L'ambito %1 del server DNS è stato eliminato. impostazione_DELETION
544 Al punto di attendibilità è stata aggiunta la chiave KEY DNS con protocollo chiave %2, dati Base64 %4 e algoritmo di crittografia %5. SYSTEM_AUDIT_LOG_UNCATEGORIZED
545 DS con tag chiave: %2, Tipo di digest: %3, Digest: %5 e Algoritmo di crittografia: %6 è stato aggiunto al punto di attendibilità %1. SYSTEM_AUDIT_LOG_UNCATEGORIZED
546 Il punto di attendibilità all'indirizzo %1 di tipo %2 è stato rimosso. SYSTEM_AUDIT_LOG_UNCATEGORIZED
547 L'anchor di attendibilità per la zona principale è stato aggiunto. SYSTEM_AUDIT_LOG_UNCATEGORIZED
548 Abbiamo ricevuto una richiesta di riavvio del servizio del server DNS. SYSTEM_AUDIT_LOG_UNCATEGORIZED
549 I log di debug sono stati cancellati da %1 sul server DNS. SYSTEM_AUDIT_LOG_WIPE
550 I contenuti in memoria di tutte le zone sul server DNS sono stati scaricati sui rispettivi file. SYSTEM_AUDIT_LOG_UNCATEGORIZED
551 Tutti i dati statistici per il server DNS sono stati cancellati. SYSTEM_AUDIT_LOG_WIPE
552 Sul server DNS è stato avviato un ciclo di distribuzione dei record di risorse. SYSTEM_AUDIT_LOG_UNCATEGORIZED
553 %1 SYSTEM_AUDIT_LOG_UNCATEGORIZED
554 Il ciclo di distribuzione del record di risorse è stato terminato sul server DNS. SYSTEM_AUDIT_LOG_UNCATEGORIZED
555 Il server DNS è stato preparato per la retrocessione rimuovendo i riferimenti a tutte le zone archiviate in Active Directory. SYSTEM_AUDIT_LOG_UNCATEGORIZED
556 Le informazioni sui suggerimenti radice del server DNS sono state scritte nella memoria permanente. SYSTEM_AUDIT_LOG_UNCATEGORIZED
557 Gli indirizzi su cui il server DNS ascolti sono stati modificati in %1. impostazione_MODIFICA target.resource.name compilato con testo "Indirizzi indirizzi"
558 È stato programmato un aggiornamento attivo RFC 5011 immediato per tutti i punti di attendibilità. SYSTEM_AUDIT_LOG_UNCATEGORIZED
559 La zona %1 è in pausa. SYSTEM_AUDIT_LOG_UNCATEGORIZED
560 La zona %1 è stata ripristinata. SYSTEM_AUDIT_LOG_UNCATEGORIZED
561 I dati relativi alla zona %1 sono stati ricaricati da %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
562 I dati per la zona %1 sono stati aggiornati dal server master %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
563 La zona secondaria %1 è scaduta e sono stati richiesti nuovi dati al server master %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
564 La zona %1 è stata ricaricata da Active Directory. SYSTEM_AUDIT_LOG_UNCATEGORIZED
565 Il contenuto della zona %1 è stato scritto sul disco e la notifica è stata inviata a tutti i server di notifica. impostazione_MODIFICA
566 Il timestamp di invecchiamento di tutti i record DNS del nodo %1 nella zona %2 sarà impostato sull'ora attuale.%3 SYSTEM_AUDIT_LOG_UNCATEGORIZED
567 La zona integrata con Active Directory %1 è stata aggiornata. Solo %2 può eseguire lo scarla. SYSTEM_AUDIT_LOG_UNCATEGORIZED
568 Il ruolo master chiave per la zona %1 è stato %2.%3 SYSTEM_AUDIT_LOG_UNCATEGORIZED
569 Descrittore %1 singing key (%2) è stato aggiunto alla zona %3 con le seguenti proprietà: KeyId=%4; KeyType=%5; CurrentState=%6; KeyStorageProvider=%7; StoreKeysInAD=%8; CryptoAlgorithm=%9; KeyLength=%10; DnsKeyPeriods; %1 = 1; 1 piani La zona verrà firmata di nuovo con la macro %2 generata con queste proprietà. SYSTEM_AUDIT_LOG_UNCATEGORIZED
570 Un descrittore della chiave di canto %1 (%2) con GUID %3 è stato aggiornato nella zona %4. Le proprietà di questo descrittore %2 sono state impostate su: KeyId=%5; KeyType=%6; CurrentState=%7; KeyStorageProvider=%8; StoreKeysInAD=%9; CryptoAlgorithm=%10; KeyLength=%11; 1, 1, 1, 1%; 1, 1, 1, 1, 1, 1, 1 si incluso; 1, 1; 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 Includente; 1 Include La zona verrà firmata di nuovo con la macro %2 generata con queste proprietà. SYSTEM_AUDIT_LOG_UNCATEGORIZED
571 Un descrittore della chiave di canto %1 (%2) è stato rimosso dalla zona %3. SYSTEM_AUDIT_LOG_UNCATEGORIZED
572 Lo stato della chiave di firma %1 (%2) %3 è stato modificato nella zona %4. La nuova chiave attiva è %5, la chiave di standby è %6 e la chiave successiva è %7. SYSTEM_AUDIT_LOG_UNCATEGORIZED
573 È stata aggiunta una delega per %1 nell'ambito %2 della zona %3 con il server dei nomi %4. SYSTEM_AUDIT_LOG_UNCATEGORIZED
574 Il record di subnet client con nome %1 valore %2 è stato aggiunto alla mappa di subnet client. SYSTEM_AUDIT_LOG_UNCATEGORIZED
575 Il record di subnet client con nome %1 è stato eliminato dalla mappa delle subnet client. SYSTEM_AUDIT_LOG_UNCATEGORIZED
576 Il record di subnet client con nome %1 è stato aggiornato dalla mappa di subnet client. Le nuove subnet client a cui fa riferimento sono %2. SYSTEM_AUDIT_LOG_UNCATEGORIZED
577 Un criterio a livello di server %6 per %1 è stato creato sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Azione:%5. impostazione_CREAZIONE
578 È stato creato un criterio a livello di zona %8 per %1 sulla zona %6 sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Action:%5; Ambito:%7. impostazione_CREAZIONE
579 È stato creato un criterio di forwarding %6 sul server %2 con le seguenti proprietà: ProcessingOrder:%3; Criteria:%4; Azione:%5; Ambito:%1. impostazione_CREAZIONE
580 Il criterio a livello di server %1 è stato eliminato dal server %2. impostazione_DELETION
581 Il criterio a livello di zona %1 è stato eliminato dalla zona %3 sul server %2. impostazione_DELETION
582 Il criterio di inoltro %1 è stato eliminato dal server %2. impostazione_DELETION