Share via

NXLog DNS-logboekconnector voor Microsoft Sentinel

  • Artikel

De NXLog DNS Logs-gegevensconnector maakt gebruik van Event Tracing voor Windows (ETW) voor het verzamelen van gebeurtenissen van zowel audit- als analytische DNS-server. De MODULE NXLog im_etw leest gegevens voor het traceren van gebeurtenissen rechtstreeks voor maximale efficiëntie, zonder dat de gebeurtenistracering in een ETL-bestand hoeft te worden vastgelegd. Deze REST API-connector kan DNS Server-gebeurtenissen in realtime doorsturen naar Microsoft Sentinel.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen NXLog_DNS_Server_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door NXLog

Voorbeelden van query's

DNS-server top 5 hostlookups

ASimDnsMicrosoftNXLog 

| summarize count() by Domain

| take 5

| render piechart title='Top 5 host lookups'

DNS-server top 5 EventOriginalTypes (gebeurtenis-id's)

ASimDnsMicrosoftNXLog 

| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))

| summarize CountByEventID=count() by EventID

| sort by CountByEventID

| take 5

| render piechart title='Top 5 EventOriginalTypes (Event IDs)'

Analytische gebeurtenissen van DNS Server per seconde (EPS)

ASimDnsMicrosoftNXLog 

| where EventEndTime >= todatetime('2021-09-17 03:07')

| where EventEndTime <  todatetime('2021-09-18 03:14')

| summarize EPS=count() by bin(EventEndTime, 1s)

| render timechart title='DNS analytical events per second (EPS) - All event types'

Installatie-instructies van leverancier

Notitie

Deze gegevensconnector is afhankelijk van parsers op basis van Kusto-functies die zijn geïmplementeerd met de Microsoft Sentinel-oplossing om naar verwachting te werken. De **ASimDnsMicrosoftNXLog ** is ontworpen om gebruik te maken van de ingebouwde ANALYSEmogelijkheden van Microsoft Sentinel.

Volg de stapsgewijze instructies in het nxlog-gebruikershandleidingintegratieonderwerpMicrosoft Sentinel om deze connector te configureren.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.