Аналитическая запись журнала DNS Windows в удаленное место назначения
Полное раскрытие информации, я не администратор Windows и не эксперт по Windows.
Начиная с Windows 2012 R2, поддерживается запись журналов аналитики DNS на DNS-сервере Windows. Моя задача - доставить эти журналы на удаленный сервер (предпочтительно с помощью NXLog), но, похоже, это не так тривиально, как я надеялся.
Однако я плохо знаком с аналитическим ведением журнала в Windows и, следовательно, мог упустить простой способ сделать это.
Я нашел статью от Microsoft, описывающую, как включить этот вид ведения журнала, и другую статью, описывающую использование этого в сетевой криминалистике .
Однако я не могу читать журналы, если я не отключу аналитический источник, если я использую ротацию журналов. Если я, однако, не включу перезапись журнала, а сброслю его после заполнения, я смогу прочитать журнал, но не смогу очистить его, если не перезапущу аналитический источник.
Я понимаю, что можно отправить этот аналитический журнал в рабочее место, но я не смог понять, как это сделать. Это возможно? Я знаю, что это может привести к снижению производительности, как только я достигну более 100 000 запросов в секунду на DNS-сервере.
Подводя итог, я хочу добиться того же, что и в статье о сетевой криминалистике, указанной выше, так или иначе. Мое текущее «решение» состоит из сценария, останавливающего источник, сбрасывая журналы HTE в файл csv, затем снова запускаю источник, и, следовательно, я могу получить данные. Однако я надеюсь, что есть более оптимизированное решение. Приветствуются любые указатели ссылок на статьи, помогающие мне достичь вышеуказанного.
Я согласен с тем, что чтение канала ETL для получения журналов DNS было бы лучшим решение, но только если они будут постоянно записываться и доступны - однако это не так, как вы упомянули -. Поэтому я могу предложить вам несколько решений для сбора логов Windows DNS-сервера:
- [BUILTIN] : включить ведение журнала DNS сервера Windows. Журналы будут сохранены в текстовый файл, доступный для чтения NXLog. Это самое простое решение. Однако здесь нет ротации файлов, и нам все еще нужно проанализировать текстовый файл
- [NXLOG] : используйте NXLog для чтения аналитических журналов (* .ETL). Эта функция предоставляется NXLog ( источник ) и входит в модуль « im_msvistalog »
- [POWERHSELL] : Я нашел сценарий ( источник ), который может читать канал ETL и записывать его в стандартный канал (файл EVTX). Затем вы можете читать и пересылать журналы с помощью WEF или NXLog (если предыдущий пункт не работает)
- [ETW WRAPPER] : Microsoft предоставляет свою собственную оболочку ETW в " O365.Security.Native.ETW " ( источник ), но мне кажется, что сложно реализовать
- [ПОЛЬЗОВАТЕЛЬСКИЙ ПОСТАВЩИК] : некоторые поставщики, такие как EventTracker или Splunk, реализуют свои собственные решения и скрипты для получения журналов DNS. Может быть, было бы интересно посмотреть, как они с этим справляются. Я обнаружил, что Splunk Stream может решить эту проблему с помощью встроенного скрипта ( источник )
В заключение я могу предложить вам прочитать PDF-документы из EventTracker ( источник ) и Netwrix ( источник )которые мне очень помогли полностью собрать все журналы, относящиеся к DNS.
В заключение я также могу предоставить вам эту таблицу, которую я составил в чтобы лучше понять, где собираются журналы DNS Windows.
