Raccogliere informazioni dettagliate sull'infrastruttura DNS con la soluzione DNS Analytics (anteprima)Gather insights about your DNS infrastructure with the DNS Analytics Preview solution

Simbolo di Analisi DNS

Questo articolo descrive come configurare e usare la soluzione Azure DNS Analytics in Azure Log Analytics per raccogliere informazioni dettagliate in DNS relative a sicurezza, prestazioni e operazioni.This article describes how to set up and use the Azure DNS Analytics solution in Azure Log Analytics to gather insights into DNS infrastructure on security, performance, and operations.

DNS Analytics consente di:DNS Analytics helps you to:

  • Identificare i client che tentano di risolvere nomi di dominio dannosi.Identify clients that try to resolve malicious domain names.
  • Identificare i record di risorse non aggiornati.Identify stale resource records.
  • Identificare i nomi di dominio sottoposti frequentemente a query e i client DNS loquaci.Identify frequently queried domain names and talkative DNS clients.
  • Visualizzare il carico di richieste nei server DNS.View request load on DNS servers.
  • Visualizzare gli errori di registrazione di DNS dinamici.View dynamic DNS registration failures.

La soluzione raccoglie, analizza e mette in relazione i log di controllo e analisi DNS di Windows e altri dati correlati dei server DNS.The solution collects, analyzes, and correlates Windows DNS analytic and audit logs and other related data from your DNS servers.

Origini connesseConnected sources

La tabella seguente descrive le origini connesse che sono supportate da questa soluzione:The following table describes the connected sources that are supported by this solution:

Origine connessaConnected source SupportoSupport DescrizioneDescription
Agenti di WindowsWindows agents Yes La soluzione raccoglie le informazioni DNS dagli agenti Windows.The solution collects DNS information from Windows agents.
Agenti LinuxLinux agents NoNo La soluzione non raccoglie le informazioni DNS dagli agenti Linux diretti.The solution does not collect DNS information from direct Linux agents.
Gruppo di gestione di System Center Operations ManagerSystem Center Operations Manager management group Yes La soluzione raccoglie le informazioni DNS dagli agenti di un gruppo di gestione di Operations Manager connesso.The solution collects DNS information from agents in a connected Operations Manager management group. Non è necessaria una connessione diretta dall'agente Operations Manager a Operations Management Suite.A direct connection from the Operations Manager agent to the Operations Management Suite is not required. I dati vengono inoltrati dal gruppo di gestione al repository Operations Management Suite.Data is forwarded from the management group to the Operations Management Suite repository.
Account di archiviazione di AzureAzure storage account NoNo La soluzione non usa le risorse di archiviazione di Azure.Azure storage isn't used by the solution.

Informazioni dettagliate sulla raccolta di datiData collection details

La soluzione raccoglie i dati relativi all'inventario e agli eventi DNS dai server DNS in cui è installato un agente Log Analytics.The solution collects DNS inventory and DNS event-related data from the DNS servers where a Log Analytics agent is installed. Tali dati vengono quindi caricati in Log Analytics e visualizzati nel dashboard della soluzione.This data is then uploaded to Log Analytics and displayed in the solution dashboard. I dati relativi all'inventario, come il numero di server, zone e record di risorse DNS, vengono raccolti eseguendo i cmdlet di PowerShell per DNS.Inventory-related data, such as the number of DNS servers, zones, and resource records, is collected by running the DNS PowerShell cmdlets. I dati vengono aggiornati ogni due giorni.The data is updated once every two days. I dati relativi agli eventi vengono raccolti quasi in tempo reale dai log di analisi e di controllo offerti dalle funzionalità avanzate di registrazione e diagnostica DNS di Windows Server 2012 R2.The event-related data is collected near real time from the analytic and audit logs provided by enhanced DNS logging and diagnostics in Windows Server 2012 R2.

ConfigurazioneConfiguration

Per configurare la soluzione, usare le informazioni seguenti:Use the following information to configure the solution:

La soluzione avvia la raccolta dati senza che siano necessarie operazioni di configurazione aggiuntive.The solution starts collecting data without the need of further configuration. È tuttavia possibile usare la configurazione seguente per personalizzare la raccolta.However, you can use the following configuration to customize data collection.

Configurare la soluzioneConfigure the solution

Nel dashboard della soluzione fare clic su Configurazione per aprire la pagina Configurazione di DNS Analytics.On the solution dashboard, click Configuration to open the DNS Analytics Configuration page. È possibile apportare due tipi di modifiche di configurazione.There are two types of configuration changes that you can make:

  • Nomi di dominio consentiti.Whitelisted Domain Names. La soluzione non elabora tutte le query di ricerca,The solution does not process all the lookup queries. ma gestisce un elenco elementi consentiti per i suffissi dei nomi di dominio.It maintains a whitelist of domain name suffixes. Le query di ricerca che si risolvono nei nomi di dominio corrispondenti ai suffissi di questo elenco non vengono elaborate dalla soluzione.The lookup queries that resolve to the domain names that match domain name suffixes in this whitelist are not processed by the solution. L'esclusione dall'elaborazione dei nomi di dominio consentiti consente di ottimizzare i dati inviati a Log Analytics.Not processing whitelisted domain names helps to optimize the data sent to Log Analytics. L'elenco elementi consentiti predefinito include i nomi di dominio pubblici più diffusi, come www.google.com e www.facebook.com. L'intero elenco predefinito può essere visualizzato tramite lo scorrimento.The default whitelist includes popular public domain names, such as www.google.com and www.facebook.com. You can view the complete default list by scrolling.

    È possibile modificare l'elenco per aggiungere qualsiasi suffisso di nome di dominio per cui non si vogliono visualizzare informazioni dettagliate relative alla ricerca.You can modify the list to add any domain name suffix that you want to view lookup insights for. È anche possibile rimuovere qualsiasi suffisso di nome di dominio per cui non si vogliono visualizzare informazioni dettagliate relative alla ricerca.You can also remove any domain name suffix that you don't want to view lookup insights for.

  • Soglia client loquaci.Talkative Client Threshold. I client DNS che superano la soglia relativa al numero di richieste di ricerca vengono evidenziati nel pannello Client DNS.DNS clients that exceed the threshold for the number of lookup requests are highlighted in the DNS Clients blade. La soglia predefinita è 1000.The default threshold is 1,000. È possibile modificare la soglia.You can edit the threshold.

    Nomi di dominio consentiti

Management PackManagement packs

Se per la connessione all'area di lavoro di Operations Management Suite si usa Microsoft Monitoring Agent, viene installato il Management Pack seguente:If you are using the Microsoft Monitoring Agent to connect to your Operations Management Suite workspace, the following management pack is installed:

  • Microsoft DNS Data Collector Intelligence Pack (Microsft.IntelligencePacks.Dns)Microsoft DNS Data Collector Intelligence Pack (Microsft.IntelligencePacks.Dns)

Se il gruppo di gestione di Operations Manager è connesso all'area di lavoro di Operations Management Suite, in Operations Manager vengono installati i Management Pack seguenti quando si aggiunge questa soluzione.If your Operations Manager management group is connected to your Operations Management Suite workspace, the following management packs are installed in Operations Manager when you add this solution. Per i Management Pack seguenti non è necessaria alcuna configurazione o manutenzione:There is no required configuration or maintenance of these management packs:

  • Microsoft DNS Data Collector Intelligence Pack (Microsft.IntelligencePacks.Dns)Microsoft DNS Data Collector Intelligence Pack (Microsft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)Microsoft System Center Advisor DNS Analytics Configuration (Microsoft.IntelligencePack.Dns.Configuration)

Per maggiori informazioni sulla modalità di aggiornamento dei Management Pack, vedere Connettere Operations Manager a Log Analytics.For more information on how solution management packs are updated, see Connect Operations Manager to Log Analytics.

Usare la soluzione DNS AnalyticsUse the DNS Analytics solution

In questa sezione vengono illustrate tutte le funzioni del dashboard e si spiega come usarle.This section explains all the dashboard functions and how to use them.

Dopo aver aggiunto la soluzione all'area di lavoro, il riquadro della soluzione nella pagina di panoramica di Operations Management Suite offre un breve riepilogo dell'infrastruttura DNS,After you've added the solution to your workspace, the solution tile on the Operations Management Suite Overview page provides a quick summary of your DNS infrastructure. che include il numero di server DNS in cui vengono raccolti i datiIt includes the number of DNS servers where the data is being collected. e il numero di richieste effettuato dai client per risolvere domini dannosi nelle ultime 24 ore.It also includes the number of requests made by clients to resolve malicious domains in the past 24 hours. Quando si fa clic sul riquadro, viene aperto il dashboard della soluzione.When you click the tile, the solution dashboard opens.

Riquadro DNS Analytics

Dashboard della soluzioneSolution dashboard

Il dashboard della soluzione visualizza informazioni di riepilogo relative alle varie funzionalitàThe solution dashboard shows summarized information for the various features of the solution. e include anche collegamenti alla visualizzazione dettagliata per l'analisi e la diagnosi per scopi legali.It also includes links to the detailed view for forensic analysis and diagnosis. Per impostazione predefinita, vengono visualizzati i dati per gli ultimi sette giorni.By default, the data is shown for the last seven days. È possibile modificare l'intervallo di tempo con il controllo di selezione di data e ora, come nell'immagine seguente:You can change the date and time range by using the date-time selection control, as shown in the following image:

Controllo di selezione di data e ora

Il dashboard visualizza i pannelli descritti di seguito.The solution dashboard shows the following blades:

Sicurezza DNS.DNS Security. Segnala i client DNS che tentano di comunicare con domini dannosi.Reports the DNS clients that are trying to communicate with malicious domains. Usando i feed di intelligence per le minacce di Microsoft, DNS Analytics può rilevare gli indirizzi IP client che tentano di accedere ai domini dannosi.By using Microsoft threat intelligence feeds, DNS Analytics can detect client IPs that are trying to access malicious domains. In molti casi, i dispositivi infetti da malware "stabiliscono la connessione" con il "centro di comando e controllo" del dominio dannoso risolvendo il nome di dominio del malware.In many cases, malware-infected devices "dial out" to the "command and control" center of the malicious domain by resolving the malware domain name.

Pannello Sicurezza DNS

Facendo clic su un indirizzo IP client nell'elenco si apre Ricerca log con i dettagli della ricerca della rispettiva query.When you click a client IP in the list, Log Search opens and shows the lookup details of the respective query. Nell'esempio seguente, DNS Analytics ha rilevato una comunicazione con IRCbot:In the following example, DNS Analytics detected that the communication was done with an IRCbot:

Ricerca log: risultati con IRCbot

Le informazioni consentono di identificare quanto segue:The information helps you to identify the:

  • IP client che ha avviato la comunicazione.Client IP that initiated the communication.
  • Nome di dominio che viene risolto nell'indirizzo IP dannoso.Domain name that resolves to the malicious IP.
  • Indirizzi IP in cui viene risolto il nome di dominio.IP addresses that the domain name resolves to.
  • Indirizzo IP dannoso.Malicious IP address.
  • Gravità del problema.Severity of the issue.
  • Motivo per non consentire l'indirizzo IP dannoso.Reason for blacklisting the malicious IP.
  • Data e ora di rilevamento.Detection time.

Domini sottoposti a query.Domains Queried. Contiene i nomi di dominio su cui i client DNS eseguono più frequentemente query nell'ambiente.Provides the most frequent domain names being queried by the DNS clients in your environment. È possibile visualizzare l'elenco di tutti i nomi di dominio sottoposti a queryYou can view the list of all the domain names queried. ed eseguire il drill-down nei dettagli delle richieste di ricerca per un nome di dominio specifico in Ricerca log.You can also drill down into the lookup request details of a specific domain name in Log Search.

Pannello Domini sottoposti a query

Client DNS.DNS Clients. Segnala i client che violano la soglia relativa al numero di query nel periodo di tempo selezionato.Reports the clients breaching the threshold for number of queries in the chosen time period. È possibile visualizzare l'elenco di tutti i client DNS e i dettagli delle query che hanno eseguito in Ricerca log.You can view the list of all the DNS clients and the details of the queries made by them in Log Search.

Pannello Client DNS

Registrazioni di DNS dinamici.Dynamic DNS Registrations. Segnala gli errori di registrazione dei nomi.Reports name registration failures. Vengono evidenziati tutti gli errori di registrazione relativi a record di risorse indirizzo (tipo A e AAAA), con gli indirizzi IP client che hanno effettuato le richieste di registrazione.All registration failures for address resource records (Type A and AAAA) are highlighted along with the client IPs that made the registration requests. È quindi possibile usare queste informazioni per trovare la causa radice dell'errore di registrazione seguendo questa procedura:You can then use this information to find the root cause of the registration failure by following these steps:

  1. Trovare la zona rilevante per il nome che il client sta tentando di aggiornare.Find the zone that is authoritative for the name that the client is trying to update.

  2. Usare la soluzione per controllare le informazioni di inventario di tale zona.Use the solution to check the inventory information of that zone.

  3. Verificare che per la zona sia abilitato l'aggiornamento dinamico.Verify that the dynamic update for the zone is enabled.

  4. Controllare se la zona è configurata o meno per l'aggiornamento dinamico sicuro.Check whether the zone is configured for secure dynamic update or not.

    Pannello Registrazioni di DNS dinamici

Richieste di registrazione del nome.Name registration requests. Il riquadro superiore visualizza la tendenza del numero di richieste di aggiornamento dinamico di DNS riuscite e non riuscite.The upper tile shows a trendline of successful and failed DNS dynamic update requests. Il riquadro inferiore contiene l'elenco dei primi 10 client che hanno inviato richieste di aggiornamento di DNS non riuscite ai server DNS, ordinato in base al numero di errori.The lower tile lists the top 10 clients that are sending failed DNS update requests to the DNS servers, sorted by the number of failures.

<span data-ttu-id="a934a-220">Pannello Richieste di registrazione del nome</span><span class="sxs-lookup"><span data-stu-id="a934a-220">Name registration requests blade</span></span>

Query DDI Analytics di esempio.Sample DDI Analytics Queries. Contiene un elenco delle query di ricerca più comuni che recuperano direttamente dati di analisi non elaborati.Contains a list of the most common search queries that fetch raw analytics data directly.

Nota

Se l'area di lavoro è stata aggiornata al nuovo linguaggio di query di Log Analytics, è necessario convertire le query seguenti.If your workspace has been upgraded to the new Log Analytics query language, then the following queries need to be converted. È possibile usare il convertitore di linguaggio per eseguire questa conversione.You can use the language converter to perform this translation.

Query di esempio

È possibile usare queste query come punto di partenza per creare le proprie query per l'elaborazione di report personalizzati.You can use these queries as a starting point for creating your own queries for customized reporting. Le query si collegano alla pagina di Ricerca log di DNS Analytics in cui vengono visualizzati i risultati:The queries link to the DNS Analytics Log Search page where results are displayed:

  • Elenco di server DNS.List of DNS Servers. Visualizza un elenco di tutti i server DNS con i nomi di dominio completo, i nomi di dominio, i nomi foresta e gli IP server associati.Shows a list of all DNS servers with their associated FQDN, domain name, forest name, and server IPs.
  • Elenco di zone DNS.List of DNS Zones. Visualizza un elenco di tutte le zone DNS con il nome della zona, lo stato di aggiornamento dinamico, i server dei nomi e lo stato della firma DNSSEC associati.Shows a list of all DNS zones with the associated zone name, dynamic update status, name servers, and DNSSEC signing status.
  • Record di risorse inutilizzati.Unused Resource Records. Visualizza un elenco di tutti i record di risorse non usati o non aggiornati.Shows a list of all the unused/stale resource records. L'elenco contiene il nome e il tipo dei record di risorse, il server DNS associato, la data e l'ora di generazione dei record e il nome della zona.This list contains the resource record name, resource record type, the associated DNS server, record generation time, and zone name. È possibile usare questo elenco per identificare i record di risorse DNS non più in usoYou can use this list to identify the DNS resource records that are no longer in use. e quindi intervenire sulla base di tali informazioni per rimuovere tali voci dai server DNS.Based on this information, you can then remove those entries from the DNS servers.
  • Carico query server DNS.DNS Servers Query Load. Visualizza informazioni che consentono di ottenere una prospettiva del carico DNS sui server DNS.Shows information so that you can get a perspective of the DNS load on your DNS servers. Queste informazioni consentono di pianificare la capacità per i server.This information can help you plan the capacity for the servers. È possibile passare alla scheda Metrica per ottenere una visualizzazione grafica,You can go to the Metrics tab to change the view to a graphical visualization. che consente di comprendere la distribuzione del carico DNS nei server DNSThis view helps you understand how the DNS load is distributed across your DNS servers. e mostra le tendenze nella frequenza di query DNS per ogni server.It shows DNS query rate trends for each server.

    Ricerca log: risultati relativi alle query nei server DNS

  • Carico query zone DNS.DNS Zones Query Load. Visualizza le statistiche al secondo delle query di tutte le zone DNS nei server DNS gestiti dalla soluzione.Shows the DNS zone-query-per-second statistics of all the zones on the DNS servers being managed by the solution. Fare clic sulla scheda Metrica per passare dalla visualizzazione di record dettagliati a una visualizzazione grafica dei risultati.Click the Metrics tab to change the view from detailed records to a graphical visualization of the results.

  • Eventi di configurazione.Configuration Events. Visualizza tutti gli eventi di modifica configurazione DNS e i messaggi associati.Shows all the DNS configuration change events and associated messages. È quindi possibile filtrare questi eventi in base a data e ora dell'evento, ID evento, server DNS o categoria di attività.You can then filter these events based on time of the event, event ID, DNS server, or task category. I dati consentono di controllare le modifiche apportate a specifici server DNS in date e ore specifiche.The data can help you audit changes made to specific DNS servers at specific times.
  • Log analitico DNS.DNS Analytical Log. Visualizza tutti gli eventi analitici in tutti i server DNS gestiti dalla soluzione.Shows all the analytic events on all the DNS servers managed by the solution. È quindi possibile filtrare questi eventi in base a data e ora dell'evento, ID evento, server DNS, IP client che ha eseguito la query di ricerca e categoria di attività del tipo di query.You can then filter these events based on time of the event, event ID, DNS server, client IP that made the lookup query, and query type task category. Gli eventi di analisi dei server DNS consentono il rilevamento delle attività nel server DNS.DNS server analytic events enable activity tracking on the DNS server. Viene registrato un evento di analisi ogni volta che il server invia o riceve informazioni DNS.An analytic event is logged each time the server sends or receives DNS information.

Nella pagina Ricerca log è possibile creare una query.On the Log Search page, you can create a query. È possibile filtrare i risultati usando i controlli facet.You can filter your search results by using facet controls. È anche possibile creare query avanzate per trasformare, filtrare e creare report sui risultati.You can also create advanced queries to transform, filter, and report on your results. Per iniziare, usare le query seguenti:Start by using the following queries:

  1. Nella casella della query di ricerca digitare Type=DnsEvents per visualizzare tutti gli eventi DNS generati dai server DNS gestiti dalla soluzione.In the search query box, type Type=DnsEvents to view all the DNS events generated by the DNS servers managed by the solution. Nei risultati sono elencati i dati di log per tutti gli eventi relativi a query di ricerca, registrazioni dinamiche e modifiche di configurazione.The results list the log data for all events related to lookup queries, dynamic registrations, and configuration changes.

    Ricerca log: eventi DNS

    a.a. Per visualizzare i dati di log per query di ricerca, selezionare LookUpQuery come filtro sottotipo nel controllo facet sul lato sinistro.To view the log data for lookup queries, select LookUpQuery as the Subtype filter from the facet control on the left. Viene visualizzata una tabella contenente gli eventi relativi a query di ricerca per il periodo di tempo selezionato.A table that lists all the lookup query events for the selected time period is displayed.

    b.b. Per visualizzare i dati di log per registrazioni dinamiche, selezionare DynamicRegistration come filtro sottotipo nel controllo facet sul lato sinistro.To view the log data for dynamic registrations, select DynamicRegistration as the Subtype filter from the facet control on the left. Viene visualizzata una tabella contenente tutti gli eventi relativi a registrazioni dinamiche per il periodo di tempo selezionato.A table that lists all the dynamic registration events for the selected time period is displayed.

    c.c. Per visualizzare i dati di log per modifiche di configurazione, selezionare ConfigurationChange come filtro sottotipo nel controllo facet sul lato sinistro.To view the log data for configuration changes, select ConfigurationChange as the Subtype filter from the facet control on the left. Viene visualizzata una tabella contenente tutti gli eventi relativi a modifiche di configurazione per il periodo di tempo selezionato.A table that lists all the configuration change events for the selected time period is displayed.

  2. Nella casella della query di ricerca digitare Type=DnsInventory per visualizzare tutti i dati relativi all'inventario DNS per i server DNS gestiti dalla soluzione.In the search query box, type Type=DnsInventory to view all the DNS inventory-related data for the DNS servers managed by the solution. Nei risultati vengono elencati i dati di log relativi ai server DNS, alle zone DNS e ai record di risorse.The results list the log data for DNS servers, DNS zones, and resource records.

    Ricerca log: inventario DNS

Commenti e suggerimentiFeedback

È possibile indicare commenti e suggerimenti in diversi modi:There are two ways you can give feedback:

  • UserVoice.UserVoice. È possibile pubblicare idee sulle funzionalità di DNS Analytics che possono essere migliorate.Post ideas for DNS Analytics features to work on. Visitare la pagina UserVoice relativa a Operations Management Suite.Visit the Operations Management Suite UserVoice page.
  • Partecipare alla coorte.Join our cohort. Microsoft è sempre interessata a includere nelle coorti nuovi clienti, che otterranno un accesso in anteprima alle nuove funzionalità e contribuiranno al miglioramento di DNS Analytics.We're always interested in having new customers join our cohorts to get early access to new features and help us improve DNS Analytics. Per partecipare, compilare questo rapido sondaggio.If you are interested in joining our cohorts, fill out this quick survey.

Passaggi successiviNext steps

Eseguire ricerche nei log per visualizzare record di log dettagliati per DNS.Search logs to view detailed DNS log records.