ISC Bind9

ISC Bind9是一个开源软件,允许您发布DNS事件。阅读更多关于Bind的网站:https://www.isc.org/downloads/bind/

在你开始之前

为了从这个事件源捕获InsightIDR中的数据,必须配置ISC Bind9将所有查询日志发送到syslog,然后转发到InsightIDR Collector;阅读如何做到这一点Syslog日志页面。

你可以配置ISC Bind9以转发syslog日志,通过阅读他们的日志记录建议,在这里:https://kb.isc.org/article/AA-01526/0/BIND-Logging-some-basic-recommendations.html

配置Linux

首先需要启用和配置Linux,以便发送日志

使用RHEL7/OEL7/Centos7在Linux上配置日志记录:

  1. 导航到安装ISC Bind9的位置。
  2. 使用SSH-Telnet终端仿真器,输入命令猫/ ect / named.conf编辑文件named.conf
  3. 将下列频道添加到日志记录{}块部分:
         

          

           
          

         

          

           

            1

           通道queries_log {
          

          

           

            2

           syslog local4;
          

          

           

            3.

           打印时间是的;
          

          

           

            4

           print-category是的;
          

          

           

            5

           print-severity是的;
          

          

           

            6

           严重性调试;
          

          

           

            7

           };
          

          

           

            8

           
          

          

           

            9

           分类查询{queres_log;};

请注意,syslog local4为syslog指定的本地设施。

当你完成时,日志记录{}Section应该是这样的:

         

          

           
          

         

          

           

            1

           日志记录{
          

          

           

            2

           通道default_debug {
          

          

           

            3.

           文件“数据/ named.run”;
          

          

           

            4

           严重程度动态;
          

          

           

            5

           };
          

          

           

            6

           
          

          

           

            7

           通道queries_log {
          

          

           

            8

           syslog local4;
          

          

           

            9

           打印时间是的;
          

          

           

            10

           print-category是的;
          

          

           

            11

           print-severity是的;
          

          

           

            12

           严重性调试;
          

          

           

            13

           };
          

          

           

            14

           
          

          

           

            15

           分类查询{queres_log;};
          

          

           

            16

           
          

          

           

            17

           };
  1. 重新启动命名输入命令:# systemctl restart named . systemctl restart.这将停止、重新启动并重新加载配置文件。请注意,表示您是管理员或root用户。
  2. 接下来,配置本地syslog守护进程将日志发送到收集器。为此,输入以下命令vi rsyslog.conf.在文本编辑器(如Vim)中打开文件。
  3. 然后在文件的底部找到远程主机是.在这里,添加采集器的IP地址和主机。
  1. 保存你的文件。
  2. 最后,重新启动rsyslog服务使用以下命令:# systemctl restart rsyslog

预期的格式

洞察平台dota2必威联赛将以以下格式处理该事件源的日志:

          

           java

            
           

          

           

            

             1

            <30.>4月12115750mydnsserver-03命名32176]12-4月-2018115750.373客户端10.1.1.10124360sslgstaticcom查询sslgstaticcom一个+10.2.1口径。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源头e。
  3. 从“安全数据”部分,单击DNS图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置不活动超时阈值(分钟)。
  8. 选择一个收集的方法并指定端口和协议。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  9. 点击保存