DNS over AMA 连接器参考 - 可用字段和规范化架构

Microsoft Sentinel 允许筛选 Windows 域名系统 (DNS) 服务器日志中的事件并将其流式传输到 ASimDnsActivityLog 规范化架构表。本文介绍用于筛选数据的字段，以及 Windows DNS 服务器字段的规范化架构。

Azure Monitor 代理 (AMA) 及其 DNS 扩展安装在 Windows Server 上，用于将 DNS 分析日志中的数据上传到 Microsoft Sentinel 工作区。可以使用“通过 AMA 处理 Windows DNS 事件”连接器流式传输和筛选数据。

可用于筛选的字段

下表显示了可用字段。使用 DNS 架构规范化字段名称。

字段名称	值	说明
“EventOriginalType”	256 到 280 的数字	Windows DNS eventID，指示 DNS 协议事件的类型。
EventResultDetails	• NOERROR • FORMERR • SERVFAIL • NXDOMAIN • NOTIMP • REFUSED • YXDOMAIN • YXRRSET • NXRRSET • NOTAUTH • NOTZONE • DSOTYPENI • BADVERS • BADSIG • BADKEY • BADTIME • BADALG • BADTRUNC • BADCOOKIE	操作的 DNS 结果字符串，由 Internet 编号分配机构 (IANA) 定义。
DvcIpAdrr	IP 地址	报告事件的服务器的 IP 地址。此字段还包含地理位置和恶意 IP 信息。
DnsQuery	域名 (FQDN)	表示要解析的域名的字符串。 • 可以接受多个值（逗号分隔的列表）和通配符。例如： `*.microsoft.com,google.com,facebook.com` • 查看有关使用通配符的这些注意事项。
DnsQueryTypeName	• A • NS • MD • MF • CNAME • SOA • MB • MG • MR • NULL • WKS • PTR • HINFO • MINFO • MX • TXT • RP • AFSDB • X25 • ISDN • RT • NSAP • NSAP-PTR • SIG • KEY • PX • GPOS • AAAA • LOC • NXT • EID • NIMLOC • SRV	请求的 DNS 属性。 IANA 定义的 DNS 资源记录类型名称。

下表描述了 Windows DNS 服务器字段并将其转换成了 DNS 规范化架构中显示的规范化字段名称。

Windows DNS 字段名称	规范化字段名称	类型	说明
EventID	“EventOriginalType”	字符串	原始事件类型或 ID。
RCODE	EventResult	字符串	事件的结果（成功、部分成功、失败、NA）。
分析的 RCODE	EventResultDetails	字符串	IANA 定义的 DNS 响应代码。
InterfaceIP	DvcIpAdrr	字符串	事件报告设备或接口的 IP 地址。
AA	DnsFlagsAuthoritative	Integer	指示来自服务器的响应是否具有权威性。
AD	DnsFlagsAuthenticated	整数	指示服务器已根据服务器策略验证了应答中的所有数据和响应权威性。
RQNAME	DnsQuery	字符串	需要解析的域。
QTYPE	DnsQueryType	整数	IANA 定义的 DNS 资源记录类型。
端口	SrcPortNumber	整数	发送查询的源端口。
源	SrcIpAddr	IP 地址	发送 DNS 请求的客户端的 IP 地址。对于递归 DNS 请求，此值通常是报告设备的 IP，在大多数情况下为 `127.0.0.1`。
ElapsedTime	DnsNetworkDuration	整数	完成 DNS 请求所用的时间。
GUID	DnsSessionId	字符串	报告设备报告的 DNS 会话标识符。

在本文中，你已了解用于使用“通过 AMA 处理 Windows DNS 事件”连接器筛选 DNS 日志数据的字段。若要详细了解 Microsoft Sentinel，请参阅以下文章：