DNS
概述
insighttops监控事件源日志中的一组字段。
- 时间戳
- 资产
- 用户
- 源地址
- 查询
- 公共后缀
- 顶级私人领域
如何收集DNS服务器日志
请在服务器端执行以下步骤,使insight tops采集器合并DNS日志。
- 在日志所在的硬盘上创建目标文件夹。
- 与也在insighttops中输入的只读凭据共享该文件夹。
- 启用对服务的登录,并将这些登录指向新创建的文件夹。
- DNS
Rapid7建议DNS日志文件夹驻留在DNS服务器的根(C)驱动器上,例如,C:\ dnlogs。
首先创建日志文件文件夹并共享它:
- 新建DNS日志文件夹。
C: \ dnslogs
为DNS日志的推荐存放目录。 - 右键单击文件夹并从下拉菜单中选择Properties。在“属性”对话框中,单击“共享”选项卡,然后单击“高级共享”按钮。
- 在“高级共享”对话框中,选择“共享此文件夹”,然后单击“权限”按钮。
- 在共享权限对话框中,单击Add…按钮并提供访问此文件的凭据。在建立DNS事件源时,需要在insight tops中包含此证书的用户名和密码。
- 要启用登录到DNS服务器,在DNS管理器中右键单击服务器的名称,从下拉菜单中选择属性。
- 单击“Debug Logging”页签,选择“Log packets for debugging”,并输入目标文件名(即之前在“file path and name”字段中创建的共享目录)。其余的复选框可以保持默认值。
在InsightOps端,您可以配置DNS事件源通过UNC符号读取共享文件夹,并提供在设置共享文件夹时使用的凭据。UNC表示法是微软的通用命名约定,是描述网络资源位置的常用语法。
请注意:确保文件路径包含尾文件的文件名,就像在示例图像中。与DHCP不同,仅提供日志的目录路径对于DNS文件配置是不够的。
微软DNS配置
insight tops支持收集Microsoft DNS审计日志。
在收集日志前,需要将DNS日志写入采集器可以通过网络共享方式连接的文件夹中。
Microsoft DNS server日志
Microsoft DHCP和DNS服务器使用类似的技术生成审计日志。在这两种情况下,当启用日志记录时,服务将其活动记录到文件系统上配置的位置。为了在InsightOps中读取这些日志,我们提供了文件和目录监视器来自动读取对这些日志文件的任何更改。共享包含日志文件的文件夹,以便收集器能够通过网络读取这些文件。此文件夹需要与一个只读凭据共享,该凭据也将提供给DHCP和DNS事件源配置。
DNS (Microsoft Domain Name Server)用于对连接到Internet或私网的资源进行命名。例如,它可以翻译域名,www.mywebsite.com到它的数字互联网协议(IP)地址,例如,172.16.254.1。InsightOps可以吸收这些日志以进一步了解出站流量和网络活动。DNS添加了可见性,以及防火墙、Web代理和其他基于出站流量的事件源,以便InsightOps能够识别您的组织使用的云服务。DNS日志也可用于调查的详细审查。
故障排除配置问题
如果DNS事件源遇到错误,事件源图标将变成黄色警告或红色失败。将鼠标移到图标上将显示错误的详细信息。这类典型错误是无法连接到服务器、凭据错误或无法找到事件源中配置的文件或文件夹。
有时,DHCP和DNS事件源可能不会读取任何日志,即使它们没有显示警告或错误。在这种情况下,请尝试以下测试。
- 当您登录到运行洞察采集器的机器时,是否可以连接到DHCP或DNS服务器文件共享?
- DHCP配置中的文件模式中是否有输入错误?如果文件模式错误,则目录中的所有文件都不匹配。
- 深水救生艇。系统被设置为在服务器上按需启动?Srv.sysshould be set to start on demand. For more information, please readSrv.sys.
我的微软DNS日志文件有0字节
在某些情况下,当日志文件需要滚转时,旧文件无法删除,因为收集器已经打开了它。有一篇文章讨论了这个问题在这里.
解决此问题的一种临时解决方案是启用DNS日志文件轮换,然后使用nxlog或类似的工具收集DNS日志,并以syslog日志的形式转发到insight tops采集器。
步骤1:开启DNS日志文件旋转
- 按照上述部分的说明配置Microsoft DNS服务器,以创建单个DNS文本/调试日志。
- 日志创建完成后,在DNS服务器上以Administrator用户打开PowerShell命令提示符。
- 运行以下命令:
Set-DNSServerDiagnostics -EnableLogFileRollover真正的美元
- 然后可以使用以下命令验证DNS日志设置是否正确:
Get-DnsServerDiagnostics
您希望看到的是,原始DNS .log位于创建它的相同位置,但是有一个新的DNS日志文件,它的名称中插入了一个时间戳。
最终的配置应该如下所示:
步骤2:安装和配置Nxlog
- 按照nxlog安装并使用它将您在上面创建的DNS日志转发到insighttops采集器。
步骤3:设置事件源
- 配置Microsoft DNS事件源,使其侦听来自nxlog服务的syslog。
步骤4:启用日志文件删除功能(可选)
- 您可能还希望启用删除旧的DNS日志,这样它们就不会填满DNS服务器的硬盘驱动器。
- 使用以下命令:
Get-ChildItem C:\locallogs\dnslogs | where LastWriteTime -lt ((Get-Date).AddDays(-2))) | Remove-Item -WhatIf
其他错误
距离上次比赛已经过去了至少120分钟。
DNS事件源有时会停止工作并产生上述错误。
但是,错误是false,因为dns日志没有停止记录。日志文件可以从收集器中打开,因此没有出现错误的明显原因。查看collector.log可能会显示以下错误:正在读取,请考虑增加扫描间隔
解决方案要修复此错误并允许收集器再次读取该文件,请检查collector.log。从日志的底部开始向上搜索DNS服务器的名称,查找以下行:
文件读取:smb://DNSServerNameHere/ShareName/dnsdebug.log [176748106 -> 176837156, Bytes READ: 89050]
如果文件包含错误,提示日志未被读取,或“读已在进行中”消息,依次完成以下操作:
- 确认防病毒软件没有锁定文件。日志所在的文件夹不应被防病毒软件扫描。
- 在DNS服务器上配置调试日志记录时,有一个选项可以在它“滚动”之前配置大文件大小。如果文件在滚动之前必须变得非常大,请减小日志文件的大小。
- 重新启动采集器/重新启动Rapid7采集器服务。
- 重新启动DNS Server服务。
- 重新启动DNS服务器。
- 删除事件源并重新创建它。
一旦日志对收集器可读,您就不需要完成任何额外的步骤。如果错误仍然存在,请联系Rapid7获得支持。