Connettore log DNS NXLog per Microsoft Sentinel
Il connettore dati dei log DNS di NXLog usa Event Tracing for Windows (ETW) per la raccolta di eventi del server DNS audit e analitici. Il modulo NXLog im_etw legge i dati di traccia degli eventi direttamente per ottenere la massima efficienza, senza la necessità di acquisire la traccia dell'evento in un file con estensione etl. Questo connettore api REST può inoltrare gli eventi del server DNS a Microsoft Sentinel in tempo reale.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
Attributo connettore | Descrizione |
---|---|
Tabelle Log Analytics | NXLog_DNS_Server_CL |
Supporto regole di raccolta dati | Non è al momento supportato |
Supportata da: | NXLog |
Esempi di query
Server DNS top 5 hostlookups
ASimDnsMicrosoftNXLog
| summarize count() by Domain
| take 5
| render piechart title='Top 5 host lookups'
Server DNS Top 5 EventOriginalTypes (ID evento)
ASimDnsMicrosoftNXLog
| extend EventID=strcat('Event ID ',trim_end('.0',tostring(EventOriginalType)))
| summarize CountByEventID=count() by EventID
| sort by CountByEventID
| take 5
| render piechart title='Top 5 EventOriginalTypes (Event IDs)'
Eventi analitici del server DNS al secondo (EPS)
ASimDnsMicrosoftNXLog
| where EventEndTime >= todatetime('2021-09-17 03:07')
| where EventEndTime < todatetime('2021-09-18 03:14')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title='DNS analytical events per second (EPS) - All event types'
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati dipende dai parser basati sulle funzioni Kusto distribuite con la soluzione Microsoft Sentinel per funzionare come previsto. **ASimDnsMicrosoftNXLog ** è progettato per sfruttare le funzionalità di analisi dns predefinite di Microsoft Sentinel.
Seguire le istruzioni dettagliate nell'argomento integrazione della Guida utente di NXLog in Microsoft Sentinel per configurare questo connettore.