Настройка получения событий DNS-сервера с помощью агента ETW
Коннектор Event Tracing for Windows (далее также коннектор ETW) – это механизм ведения журнала событий, создаваемых приложениями и драйверами на DNS-сервере. Вы можете использовать коннектор ETW для устранения ошибок при разработке, а также для поиска вредоносной активности.
Использование коннектора ETW оказывает незначительное влияние на производительность DNS-сервера. Например, DNS-сервер, который работает на современном оборудовании и получает до 100 000 запросов в секунду (англ. queries per second, QPS), может испытывать снижение производительности на 5% при использовании коннектора ETW. Если DNS-сервер получает до 50 000 запросов в секунду, снижение производительности не наблюдается. Мы рекомендуем следить за производительностью DNS-сервера при использовании коннектора ETW вне зависимости от количества запросов в секунду.
По умолчанию вы можете использовать коннектор ETW на операционной системе Windows Server, начиная с версии Windows Server 2016. Коннектор ETW также поддерживается версией Windows Server 2012 R2, если установлено исправление для ведения журнала событий и аудита изменений. Исправление доступно на сайте службы технической поддержки Microsoft.
Коннектор ETW состоит из следующих компонентов:
- Поставщики или провайдеры (англ. providers) – элементы системы, которые генерируют события и отправляют их коннектору ETW. Например, поставщиками могут быть ядра Windows или драйвера устройств. При работе с кодом разработчикам нужно указать, какие события поставщики отправляют коннектору ETW. Событием может быть выполнение важной с точки зрения разработчика функции, например функции, которая открывает доступ к Security Account Manager (SAM).
- Потребители (англ. consumers) – программные системы, получают от коннектора ETW события, сгенерированные поставщиками, после чего используют эти события. Например, потребителем может быть KUMA.
- Контроллеры (англ. controllers) – программы, которые управляют взаимодействием между поставщиками и потребителями. Например, контроллерами могут быть утилиты Logman или Wevtutil. Поставщики регистрируются в контроллере для отправки событий потребителям. Контроллер может включить или выключить поставщика. Если поставщик выключен, он не генерирует события.
Для установки связи между поставщиками и потребителями контроллеры используют сессии трассировки. Сессии трассировки также используются для фильтрации данных по указанным параметрам, так как потребителям могут требоваться разные события.
Настройка получения событий DNS-сервера с помощью коннектора ETW состоит из следующих этапов:
- Настройка на стороне Windows.
- Создание коллектора KUMA.
При создании коллектора KUMA выполните следующие действия:
- На 2-м шаге мастера установки коллектора выполните следующие действия:
- В раскрывающемся списке Тип выберите тип коннектора tcp. Вы также можете указать тип коннектора http и другие типы коннектора с верификацией для защищенной отправки.
- В поле URL введите FQDN и номер порта, на котором коллектор KUMA будет ожидать соединения от агента KUMA. Вы можете указать номер любого из незанятых портов.
- В поле Разделитель введите
\n
.
- На 3-м шаге мастера установки коллектора в раскрывающемся списке Нормализатор выберите нормализатор. Мы рекомендуем выбрать предустановленный расширенный нормализатор для событий Windows [OOTB] Microsoft DNS ETW logs json.
- На 7-м шаге мастера установки коллектора добавьте точку назначения с типом Хранилище для хранения событий. Если вы планируете использовать корреляцию по событиям, вам также нужно добавить точку назначения с типом Коррелятор.
- На 8-м шаге мастера установки коллектора нажмите на кнопку Сохранить и создать сервис, после чего в нижней части окна скопируйте команду для установки коллектора KUMA на сервере.
- На 2-м шаге мастера установки коллектора выполните следующие действия:
- Установка коллектора KUMA на сервере.
Выполните следующие действия:
- Подключитесь к интерфейсу командной строки KUMA, используя учетную запись пользователя с правами root.
- Установите коллектор KUMA, выполнив команду, которую вы скопировали на 8-м шаге мастера установки коллектора.
- Если вы хотите добавить порт коллектора KUMA в исключения межсетевого экрана и обновить параметры межсетевого экрана, выполните команды:
firewall-cmd --add-port=<
номер порта коллектора
>/tcp –permanent
firewall-cmd --reload
Коллектор KUMA будет установлен, и статус сервиса коллектора KUMA изменится на зеленый в веб-интерфейсе KUMA.
- Создание агента KUMA.
При создании агента KUMA выполните следующие действия:
- Выберите вкладку Подключение 1.
- В блоке параметров Коннектор раскрывающемся списке Коннектор выберите Создать и укажите следующие параметры:
- В раскрывающемся списке Тип выберите тип коннектора etw.
- В поле Имя сессии введите имя поставщика, которое вы указали при настройке получения событий DNS-сервера с помощью коннектора ETW на стороне Windows.
- В блоке параметров Точки назначения в раскрывающемся списке Точка назначения выберите Создать и укажите следующие параметры:
- В раскрывающемся списке Тип выберите тип точки назначения tcp.
- В поле URL введите FQDN и номер порта, на котором коллектор KUMA будет ожидать соединения от агента KUMA. Введенное значение должно совпадать со значением, которое вы указали на 2-м шаге мастера установки коллектора.
- Выберите вкладку Дополнительные параметры и в поле Размер дискового буфера введите
1073741824
.
- Создание сервиса агента KUMA.
Вам нужно скопировать идентификатор созданного сервиса агента KUMA. Для этого нажмите на правую кнопку мыши рядом с сервисом агента KUMA и в контекстном меню выберите пункт Копировать идентификатор.
- Создание учетной записи для агента KUMA.
Создайте доменную или локальную учетную запись Windows для запуска агента KUMA и обеспечения доступа к чтению аналитического журнала. Вам нужно добавить созданную учетную запись в группу пользователей Пользователи журналов производительности (англ. Performance Log Users group), а также назначить этой учетной записи право Вход в качестве службы (англ. Log on service).
- Установка агента KUMA на Windows-сервере.
Вам нужно установить агент KUMA на Windows-сервере, который будет обеспечивать прием событий от поставщика. Для этого выполните следующие действия:
- Добавьте FQDN сервера KUMA Core в файл hosts на Windows-сервере, либо на DNS-сервер.
- Создайте директорию C:\Users\<имя пользователя>\Desktop\KUMA на Windows-сервере.
- Скопируйте файл kuma.exe из архива пакетов установки KUMA в директорию C:\Users\<имя пользователя>\Desktop\KUMA.
- Запустите командную строку от имени администратора.
- Перейдите в директорию C:\Users\<имя пользователя>\Desktop\KUMA и выполните команду:
C:\Users\<
имя пользователя
>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <
идентификатор сервиса агента KUMA
>
В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы убедитесь, что сервис агента KUMA был запущен и его статус изменился на зеленый, после чего прервите выполнение команды.
- Запустите установку агента KUMA одним из следующих способов:
- Если вы хотите запустить установку агента KUMA с использованием доменной учетной записи, выполните команду:
C:\Users\<
имя пользователя
>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <
идентификатор сервиса агента KUMA
> –-user <
домен
>\<
имя учетной записи для агента KUMA
> --install
- Если вы хотите запустить установку агента с использованием локальной учетной записи, выполните команду:
C:\Users\<
имя пользователя
>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <
идентификатор сервиса агента KUMA
> –-user <
имя учетной записи для агента KUMA
> --install
Вам потребуется ввести пароль учетной записи для агента KUMA.
- Если вы хотите запустить установку агента KUMA с использованием доменной учетной записи, выполните команду:
На Windows-сервере будет установлен сервис KUMA Windows Agent <идентификатор сервиса агента KUMA>. Если в веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы сервис агента KUMA не запущен и имеет красный статус, вам нужно убедиться в доступности портов 7210, а также порта коллектора Windows по направлению от агента KUMA к коллектору KUMA.
Для удаления сервиса агента KUMA на Windows-сервере выполните команду:
C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --id <
идентификатор сервиса агента KUMA
> --uninstall
- Проверка поступления событий DNS-сервера в коллектор KUMA.
Вы можете проверить, что настройка получения событий DNS-сервера с помощью коннектора ETW выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.