Аналитическое ведение журнала Windows в удаленном направлении
Полное раскрытие, я не администратор Windows и не эксперт по Windows. Начиная с Windows 2012 r2, поддерживается запись аналитических журналов DNS на DNS-сервере Windows. Моя задача - передать эти журналы на удаленный сервер (желательно с использованием NXLog), но, похоже, это не так тривиально, как я бы надеялся. Однако я не знаком с Google Analytics, регистрирующимся в Windows, и, следовательно, я мог упустить простой способ сделать это.
Я нашел статью от Microsoft, описывающую, как включить этот вид журналирования, и другую статью, описывающую использование этого в сетевой экспертизе. Однако я не могу читать журналы, пока не отключу аналитический источник, если использую ротацию журналов. Однако, если я не включаю перезапись журнала и удаляю его, как только он заполнен, я могу прочитать журнал, но не могу очистить его, пока не перезапущу аналитический источник.
Я понимаю, что есть возможность отправить этот аналитический журнал в рабочее место, но я не смог понять, как это сделать. Это возможно? Я знаю, что когда-либо у меня снижается производительность, когда я достигаю более 100k QPS на DNS-сервере.
Итак, подытожим все, что я хочу достичь, это то же самое, что и в статье о судебной экспертизе, приведенной выше, так или иначе. Мое текущее "решение" состоит из сценария, останавливающего источник, сбрасывающего журналы hte в файл csv, затем снова запускающего источник, и, следовательно, я могу получить данные. Однако я надеюсь, что есть более рациональное решение. Любые указатели ссылок на статьи, помогающие мне достичь вышеизложенного, приветствуются.
2 ответа
Я согласен с тем, что чтение ETL-канала для получения журналов DNS было бы лучшим решением, но только в том случае, если бы они постоянно записывались и были доступны - однако это не тот случай, как вы упомянули. Поэтому я могу предложить вам несколько решений для сбора журналов DNS-серверов Windows:
- [BUILTIN]: включить ведение журнала Windows Server DNS. Журналы будут сохранены в текстовый файл, который может быть прочитан NXLog. Это решение является самым простым. Однако он не имеет ротации файлов, и нам все еще нужно проанализировать текстовый файл
- [NXLOG]: используйте NXLog для чтения аналитических журналов (*.ETL). Эта функция предоставляется NXLog ( источник) и входит в модуль " im_msvistalog "
- [POWERHSELL]: Я нашел скрипт ( источник), который может читать канал ETL и записывать его в стандартный канал (файл EVTX). Затем вы можете читать и пересылать журналы, используя WEF или NXLog (если предыдущий пункт не работает)
- [ETW WRAPPER]: Microsoft предоставляет свою собственную оболочку ETW в " O365.Security.Native.ETW " ( источник), но мне кажется, что это сложно реализовать
- [ПОЛЬЗОВАТЕЛЬСКИЙ ПОСТАВЩИК]: некоторые поставщики, такие как EventTracker или Splunk, внедряют свои собственные решения и сценарии для получения журналов DNS. Может быть, было бы интересно посмотреть, как они справляются с этим. Я обнаружил, что Splunk Stream может решить эту проблему с помощью встроенного скрипта ( источник)
В заключение я могу предложить вам прочитать документы в формате PDF от EventTracker ( источник) и Netwrix ( источник), которые были очень полезны для меня, чтобы полностью собрать все соответствующие журналы DNS.
В заключение я также могу предоставить вам эту таблицу, которую я составил, чтобы лучше понять, где собираются журналы DNS в Windows.
Я думаю, что мы обсуждали это на Reddit, поэтому я просто размещаю здесь ссылку для дальнейшего использования.