ISC Bind9

ISC Bind9是一个开源软件,允许您发布DNS事件。阅读更多关于Bind的网站:https://www.isc.org/downloads/bind/

在你开始之前

要从此事件源中捕获InsightIdr中的数据,必须配置ISC Bind9以将所有查询日志发送到Syslog,然后将它们转发到InsightIdr收集器;阅读关于如何这样做的事情syslog logging.页面。

您可以通过在此处读取他们的日志记录建议中的指示来配置ISC BIND9以转发SYSLOG:https://kb.isc.org/article/aa-01526/0/bind-logging-some-basic-recommendations.html.

配置Linux

您必须先启用和配置Linux以发送日志

使用RHEL7/OEL7/Centos7在Linux上配置日志记录:

  1. 导航到安装ISC Bind9的位置。
  2. 使用SSH-Telnet终端仿真器,输入命令猫/ ect / named.conf编辑文件named.conf
  3. 将以下频道添加到记录{}块部分:
         

          

           
          

         

          

           

            1

           通道查询{
          

          

           

            2

           Syslog Local4;
          

          

           

            3.

           打印时间是;
          

          

           

            4

           打印类别是;
          

          

           

            5

           打印严重性是;
          

          

           

            6

           严重程度调试;
          

          

           

            7

           };
          

          

           

            8

           
          

          

           

            9

           分类查询{queres_log;};

请注意,Syslog Local4.是您为Syslog指定的本地工厂。

当你完成后,记录{}Section应该是这样的:

         

          

           
          

         

          

           

            1

           记录{
          

          

           

            2

           channel default_debug {
          

          

           

            3.

           文件“data / named.run”;
          

          

           

            4

           严重程度动态;
          

          

           

            5

           };
          

          

           

            6

           
          

          

           

            7

           通道查询{
          

          

           

            8

           Syslog Local4;
          

          

           

            9

           打印时间是;
          

          

           

            10.

           打印类别是;
          

          

           

            11.

           打印严重性是;
          

          

           

            12.

           严重程度调试;
          

          

           

            13.

           };
          

          

           

            14.

           
          

          

           

            15.

           分类查询{queres_log;};
          

          

           

            16.

           
          

          

           

            17.

           };
  1. 重新启动命名输入命令:# systemctl restart named . systemctl restart.这将停止、重新启动并重新加载配置文件。请注意,表示您是管理员或root用户。
  2. 接下来,将本地Syslog守护程序配置为将日志发送到收集器。为此,请输入以下命令vi rsyslog.conf..在文本编辑器(例如Vim)中打开文件。
  3. 然后转到文件的底部并找到远程主机是.在这里,添加采集器的IP地址和主机。
  1. 保存你的文件。
  2. 最后,重新启动rsyslog服务使用以下命令:# systemctl restart rsyslog

预期格式

Insidota2必威联赛ght平台将以以下格式从此事件源处理日志:

          

           java.

            
           

          

           

            

             1

            <30.>4月12.11.57.50.mydnsserver-03.命名32176.12.-4月-201811.57.50.373客户端10.1.1.10124360.SSL.gstatic.com询问SSL.gstatic.com一个+10.2.1.22

如何配置事件源

  1. 从仪表板中选择数据收集在左手菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加活动奴体e。
  3. 从“安全数据”部分,单击DNS图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区与事件源日志的位置匹配。
  6. 可选择选择发送未经过滤的日志
  7. 在几分钟内配置不活动超时阈值。
  8. 选择一个收集的方法并指定端口和协议。
    • 如果通过下载通过下载TCP,可选择选择加密事件源rapt7证书
  9. 点击保存