Назад | Перейти на главную страницу

Аналитическое ведение журнала DNS в удаленном месте


Полное раскрытие, я не администратор Windows и не эксперт по Windows. Начиная с Windows 2012 R2, поддерживается запись журналов аналитики DNS на DNS-сервере Windows. Моя задача - доставить эти журналы на удаленный сервер (предпочтительно с помощью NXLog), но, похоже, это не так тривиально, как я надеялся. Однако я плохо знаком с аналитическим ведением журнала в Windows и, следовательно, я, возможно, пропустил простой способ сделать это.
Я нашел статью от Microsoft, описывающую, как включить этот вид ведения журнала и еще одна статья, описывающая использование этого в сетевая криминалистика. Однако я не могу читать журналы, если я не отключу аналитический источник, если я использую ротацию журналов. Если я, однако, не включу перезапись журнала и пропущу его после заполнения, я могу прочитать журнал, но не смогу очистить его, пока не перезапущу аналитический источник.
Я понимаю, что можно отправить этот аналитический журнал в рабочее место, но я не смог понять, как это сделать. Это возможно? Я знаю, что это может привести к снижению производительности, как только я достигну более 100 тысяч запросов в секунду на DNS-сервере.
Подводя итог, я хочу добиться того же, что и в статье о сетевой криминалистике, указанной выше, так или иначе. Мое текущее «решение» состоит из сценария, останавливающего источник, сбрасывая журналы HTE в файл csv, затем снова запускаю источник, и, следовательно, я могу получить данные. Однако я надеюсь, что есть более оптимизированное решение. Приветствуются любые указатели ссылок на статьи, помогающие мне достичь вышеизложенного.

Я согласен с тем, что чтение канала ETL для получения журналов DNS было бы лучшим решением, но только в том случае, если они будут постоянно записываться и доступны - однако это не так, как вы упомянули -. Поэтому я могу предложить вам несколько решений для сбора логов Windows DNS-сервера:

  • [BUILTIN]: включить ведение журнала DNS Windows Server. Журналы будут сохранены в текстовый файл, доступный для чтения NXLog. Это самое простое решение. Однако у него нет ротации файлов, и нам все еще нужно проанализировать текстовый файл.

  • [NXLOG]: используйте NXLog для чтения аналитических журналов (* .ETL). Эта функция предоставляется NXLog (источник) и входит в модуль "im_msvistalog"
  • [POWERHSELL]: Я нашел сценарий (источник), который может читать канал ETL и записывать его в стандартный канал (файл EVTX). Затем вы можете читать и пересылать журналы с помощью WEF или NXLog (если предыдущий пункт не работает)
  • [ETW WRAPPER]: Microsoft предоставляет свою собственную оболочку ETW в "O365.Security.Native.ETW"(источник) но мне кажется, что это сложно реализовать
  • [ПОСТАВЩИК]: некоторые поставщики, такие как EventTracker или Splunk, реализуют свои собственные решения и скрипты для получения журналов DNS. Может быть, было бы интересно посмотреть, как они с этим справляются. Я обнаружил, что Splunk Stream может решить эту проблему с помощью встроенного скрипта (источник)

В завершение я могу предложить вам прочитать PDF-документы из EventTracker (источник) и Netwrix (источник), которые очень помогли мне полностью собрать все журналы, относящиеся к DNS.

В заключение я также могу предоставить вам эту таблицу, которую я составил, чтобы лучше понять, где собираются журналы DNS в Windows.

Я думаю, мы обсуждали это на Reddit поэтому я просто помещаю здесь ссылку для дальнейшего использования.