通过

使用 DNS Analytics 预览版解决方案收集有关 DNS 基础结构的见解

DNS Analytics 符号。

本文介绍如何在 Azure Monitor 中设置和使用 Azure DNS 分析解决方案,以收集有关安全性、性能和作的 DNS 基础结构的见解。

DNS 分析可帮助你:

  • 确定尝试解决恶意域名的客户端。
  • 确定过时的资源记录。
  • 确定经常查询的域名和频繁发出请求的 DNS 客户端。
  • 查看 DNS 服务器上的请求负载。
  • 查看动态 DNS 注册失败情况。

该解决方案从 DNS 服务器收集、分析和关联 Windows DNS 分析和审核日志和其他相关数据。

重要

Log Analytics 代理将于 2024 年 8 月 31 日 停用。 如果在 Microsoft Sentinel 部署中使用 Log Analytics 代理,建议开始计划迁移到 Azure Monitor 代理。 有关详细信息,请参阅 Azure Monitor 代理迁移(适用于 Microsoft Sentinel)

连接的源

下表列出了此解决方案所支持的连接的源:

已连接的源 支持 说明
Windows 软件代理 是的 该解决方案从 Windows 代理收集 DNS 信息。
Linux 代理 该解决方案不会从直接 Linux 代理收集 DNS 信息。
System Center Operations Manager (系统中心操作管理器) 管理组 是的 该解决方案从连接的 Operations Manager 管理组中的代理收集 DNS 信息。 不需要从 Operations Manager 代理到 Azure Monitor 的直接连接。 数据从管理组转发到 Log Analytics 工作区。
Azure 存储帐户 解决方案不使用 Azure 存储。

数据收集详细信息

该解决方案从安装了 Log Analytics 代理的 DNS 服务器收集 DNS 清单和 DNS 事件相关数据。 然后,此数据将上传到 Azure Monitor 并在解决方案仪表板中显示。 通过运行 DNS PowerShell cmdlet 收集与清单相关的数据,例如 DNS 服务器数、区域和资源记录数。 数据每两天更新一次。 通过 Windows Server 2012 R2 中增强的 DNS 日志和诊断提供的 分析和审核日志,事件相关数据被近实时收集。

配置

使用以下信息配置解决方案:

  • 必须在要监视的每个 DNS 服务器上具有 WindowsOperations Manager 代理。
  • 可以从 Azure 市场将 DNS Analytics 解决方案添加到 Log Analytics 工作区。 还可以使用在解决方案库中 所述的过程添加 Azure Monitor 解决方案。

解决方案将开始收集数据,而无需进一步配置。 但是,您可以使用以下配置来定制数据收集。

配置解决方案

在 Azure 门户中的 Log Analytics 工作区中,选择 工作区摘要(已弃用)。 然后选择 DNS Analytics 磁贴。 在解决方案仪表板上,选择 配置 以打开 DNS Analytics 配置 页。 可以进行两种类型的配置更改:

  • 允许列出的域名:解决方案不会处理所有查找查询。 它维护域名后缀的允许列表。 解决方案不会处理那些匹配此允许列表中域名后缀的域名解析查询。 不处理白名单中的域名有助于优化发送到 Azure Monitor 的数据。 默认允许列表包括常用的公共域名,例如 www.google.comwww.facebook.com。 可以通过滚动查看完整的默认列表。

    您可以修改列表,以添加您想要查看查找见解的域名后缀。 您还可以删除您不想查看查找见解的任何域名后缀。

  • 对话客户端阈值DNS 客户端 窗格中突出显示超过查找请求数阈值的 DNS 客户端。 默认阈值为 1,000。 可以编辑阈值。

    显示白名单域名的屏幕截图。

管理包

如果使用 Microsoft Monitoring Agent 连接到 Log Analytics 工作区,则安装以下管理包:

  • Microsoft DNS 数据收集器智能包(Microsoft.IntelligencePacks.Dns)

如果 Operations Manager 管理组已连接到 Log Analytics 工作区,则添加此解决方案时,Operations Manager 中会安装以下管理包。 无需配置或维护这些管理包:

  • Microsoft DNS 数据收集器智能包(Microsoft.IntelligencePacks.Dns)
  • Microsoft System Center Advisor DNS Analytics 配置(Microsoft.IntelligencePack.Dns.Configuration)

有关如何更新解决方案管理包的详细信息,请参阅 将 Operations Manager 连接到 Log Analytics

使用 DNS 分析解决方案

此监视解决方案收集的数据在 Azure 门户中的 工作区摘要(已弃用) 页中提供。 为包含您解决方案的工作区,从 Log Analytics 工作区 打开此页面,然后在菜单的 经典 部分中选择 工作区摘要(已弃用)。 每个解决方案都由磁贴表示。 请选择一个图块以获取该解决方案收集的更详细信息。

DNS 磁贴包括正在收集数据的 DNS 服务器数。 它还包括客户端在过去 24 小时内为解决恶意域而发出的请求数。 选择磁贴时,解决方案仪表板将打开。

显示 DNS Analytics 磁贴的 屏幕截图。

解决方案仪表板

解决方案仪表板显示解决方案的各种功能的汇总信息。 它还包括用于取证分析和诊断的详细视图的链接。 默认情况下,数据显示为过去七天的记录。 可以使用 日期时间选择控件来更改日期和时间范围,如下图所示:

显示时间选择控件的屏幕截图。

解决方案仪表板显示以下部分:

DNS 安全性:报告尝试与恶意域通信的 DNS 客户端。 通过使用Microsoft威胁情报源,DNS Analytics 可以检测尝试访问恶意域的客户端 IP。 在许多情况下,恶意软件感染的设备通过解析恶意软件域名,连接到恶意域的“命令和控制”中心。

显示“DNS 安全性”部分的屏幕截图。

在列表中选择客户端 IP 时,日志搜索将打开并显示相应查询的查找详细信息。 在以下示例中,DNS Analytics 检测到已使用 IRCbot完成通信:

显示 ircbot 的日志搜索结果的屏幕截图。

此信息可帮助你识别:

  • 启动通信的客户端 IP。
  • 解析为恶意 IP 的域名。
  • 域名解析为的 IP 地址。
  • 恶意 IP 地址。
  • 问题的严重性。
  • 阻止列出恶意 IP 的原因。
  • 检测时间。

查询的域:提供环境中 DNS 客户端查询的最常见域名。 可以查看查询的所有域名的列表。 您还可以深入查看 日志搜索中特定域名的查询请求详细信息。

显示“已查询的域”部分的屏幕截图。

DNS 客户端:报告客户端 违反所选时间段内查询数的阈值。 可以在 日志搜索中查看所有 DNS 客户端的列表及其查询的详细信息。

显示“DNS 客户端”部分的屏幕截图。

动态 DNS 注册:报告名称注册失败。 地址 资源记录(类型 A 和 AAAA)的所有注册失败,以及发出注册请求的客户端 IP,都被突出显示。 然后,可以按照以下步骤使用此信息查找注册失败的根本原因:

  1. 找到客户端尝试更新的名称所对应的权威域。

  2. 使用解决方案检查该区域的清单信息。

  3. 验证是否已启用区域的动态更新。

  4. 检查是否已为区域配置安全动态更新。

    显示“动态 DNS 注册”部分的屏幕截图。

名称注册请求:上图显示了成功和失败的 DNS 动态更新请求的趋势线。 下层磁贴列出了向 DNS 服务器发送失败的 DNS 更新请求的前 10 个客户端,这些客户端按失败次数进行排序。

显示“名称注册请求”部分的屏幕截图。

示例 DDI 分析查询:包含用于直接提取原始分析数据的最常见搜索查询的列表。

显示示例查询的屏幕截图。

可以将这些查询用作为创建自定义报表时所需查询的起点。 查询链接到 DNS Analytics 日志搜索 页,在此页显示结果:

  • DNS 服务器列表:显示所有 DNS 服务器及其关联的 FQDN、域名、林名称和服务器 IP 的列表。

  • DNS 区域列表:显示具有关联区域名称、动态更新状态、名称服务器和 DNSSEC 签名状态的所有 DNS 区域的列表。

  • 未使用的资源记录:显示所有未使用/过时的资源记录的列表。 此列表包含资源记录名称、资源记录类型、关联的 DNS 服务器、记录生成时间和区域名称。 可以使用此列表标识不再使用的 DNS 资源记录。 然后,根据此信息,可以从 DNS 服务器中删除这些条目。

  • DNS 服务器查询负载情况:显示信息,帮助您了解 DNS 服务器上的 DNS 负载。 此信息可帮助你规划服务器的容量。 可以转到“指标”选项卡,将视图更改为图形可视化效果。 此视图可帮助你了解 DNS 负载如何分布在 DNS 服务器中。 它显示每台服务器的 DNS 查询速率趋势。

    显示 DNS 服务器查询日志搜索结果的屏幕截图。

  • DNS 区域查询加载:显示解决方案管理的 DNS 服务器上所有区域的每秒 DNS 区域查询统计信息。 选择 指标 选项卡,将视图从详细记录更改为结果的图形可视化效果。

  • 配置事件:显示所有 DNS 配置更改事件和关联的消息。 然后,可以根据事件、事件 ID、DNS 服务器或任务类别的时间筛选这些事件。 数据可帮助审核在特定时间对特定 DNS 服务器所做的更改。

  • DNS 分析日志:显示解决方案管理的所有 DNS 服务器上的所有分析事件。 然后,可以根据事件的时间、事件 ID、DNS 服务器、发出查找查询的客户端 IP 和查询类型任务类别筛选这些事件。 DNS 服务器分析事件允许对 DNS 服务器进行活动跟踪。 每次服务器发送或接收 DNS 信息时都会记录分析事件。

日志搜索 页上,可以创建查询。 可以使用分面控件筛选搜索结果。 还可以创建高级查询来转换、筛选和报告结果。 首先使用以下查询:

  1. 在搜索查询框中,输入 DnsEvents 以查看由解决方案管理的 DNS 服务器生成的所有 DNS 事件。 结果列出了与查找查询、动态注册和配置更改相关的所有事件的日志数据。

    显示 DnsEvents 日志搜索的屏幕截图。

    1. 若要查看查找查询的日志数据,请选择 LookUpQuery 作为左侧 facet 控件中的 子类型 筛选器。 此时会显示一个表,其中列出了所选时间段的所有查找查询事件。

    2. 若要查看动态注册的日志数据,请选择 DynamicRegistration 作为左侧 facet 控件中的 子类型 筛选器。 此时会显示一个表,其中列出了所选时间段的所有动态注册事件。

    3. 若要查看配置更改的日志数据,请选择 ConfigurationChange 作为左侧 facet 控件中的 子类型 筛选器。 此时会显示一个表,其中列出了所选时间段的所有配置更改事件。

  2. 在搜索查询框中,输入 DnsInventory 以查看解决方案管理的 DNS 服务器的所有 DNS 清单相关数据。 结果列出了 DNS 服务器、DNS 区域和资源记录的日志数据。

    显示 DnsInventory 日志搜索的屏幕截图。

故障排除

常见故障排除步骤:

  • 缺少 DNS 查找数据:若要解决此问题,请尝试在门户中重置配置或加载配置页一次。 若要重置,请将设置更改为另一个值,将其更改回原始值,并保存配置。

建议

若要提供反馈,请访问 Log Analytics UserVoice 页面,发表对 DNS Analytics 功能进行改进的想法。

后续步骤

查看 查询日志 以查看详细的 DNS 日志记录。