Настройка получения событий DNS-сервера с помощью агента ETW

Коннектор Event Tracing for Windows (далее также коннектор ETW) – это механизм ведения журнала событий, создаваемых приложениями и драйверами на DNS-сервере. Вы можете использовать коннектор ETW для устранения ошибок при разработке, а также для поиска вредоносной активности.

Использование коннектора ETW оказывает незначительное влияние на производительность DNS-сервера. Например, DNS-сервер, который работает на современном оборудовании и получает до 100 000 запросов в секунду (англ. queries per second, QPS), может испытывать снижение производительности на 5% при использовании коннектора ETW. Если DNS-сервер получает до 50 000 запросов в секунду, снижение производительности не наблюдается. Мы рекомендуем следить за производительностью DNS-сервера при использовании коннектора ETW вне зависимости от количества запросов в секунду.

По умолчанию вы можете использовать коннектор ETW на операционной системе Windows Server, начиная с версии Windows Server 2016. Коннектор ETW также поддерживается версией Windows Server 2012 R2, если установлено исправление для ведения журнала событий и аудита изменений. Исправление доступно на сайте службы технической поддержки Microsoft.

Коннектор ETW состоит из следующих компонентов:

• Поставщики или провайдеры (англ. providers) – элементы системы, которые генерируют события и отправляют их коннектору ETW. Например, поставщиками могут быть ядра Windows или драйвера устройств. При работе с кодом разработчикам нужно указать, какие события поставщики отправляют коннектору ETW. Событием может быть выполнение важной с точки зрения разработчика функции, например функции, которая открывает доступ к Security Account Manager (SAM).
• Потребители (англ. consumers) – программные системы, получают от коннектора ETW события, сгенерированные поставщиками, после чего используют эти события. Например, потребителем может быть KUMA.
• Контроллеры (англ. controllers) – программы, которые управляют взаимодействием между поставщиками и потребителями. Например, контроллерами могут быть утилиты Logman или Wevtutil. Поставщики регистрируются в контроллере для отправки событий потребителям. Контроллер может включить или выключить поставщика. Если поставщик выключен, он не генерирует события.

Для установки связи между поставщиками и потребителями контроллеры используют сессии трассировки. Сессии трассировки также используются для фильтрации данных по указанным параметрам, так как потребителям могут требоваться разные события.

Настройка получения событий DNS-сервера с помощью коннектора ETW состоит из следующих этапов:

1. Настройка на стороне Windows.
2. Создание коллектора KUMA.

   При создании коллектора KUMA выполните следующие действия:

   1. На 2-м шаге мастера установки коллектора выполните следующие действия:
      1. В раскрывающемся списке Тип выберите тип коннектора tcp. Вы также можете указать тип коннектора http и другие типы коннектора с верификацией для защищенной отправки.
      2. В поле URL введите FQDN и номер порта, на котором коллектор KUMA будет ожидать соединения от агента KUMA. Вы можете указать номер любого из незанятых портов.
      3. В поле Разделитель введите \n.
   2. На 3-м шаге мастера установки коллектора в раскрывающемся списке Нормализатор выберите нормализатор. Мы рекомендуем выбрать предустановленный расширенный нормализатор для событий Windows [OOTB] Microsoft DNS ETW logs json.
   3. На 7-м шаге мастера установки коллектора добавьте точку назначения с типом Хранилище для хранения событий. Если вы планируете использовать корреляцию по событиям, вам также нужно добавить точку назначения с типом Коррелятор.
   4. На 8-м шаге мастера установки коллектора нажмите на кнопку Сохранить и создать сервис, после чего в нижней части окна скопируйте команду для установки коллектора KUMA на сервере.
3. Установка коллектора KUMA на сервере.

   Выполните следующие действия:

   1. Подключитесь к интерфейсу командной строки KUMA, используя учетную запись пользователя с правами root.
   2. Установите коллектор KUMA, выполнив команду, которую вы скопировали на 8-м шаге мастера установки коллектора.
   3. Если вы хотите добавить порт коллектора KUMA в исключения межсетевого экрана и обновить параметры межсетевого экрана, выполните команды:
      1. firewall-cmd --add-port=<номер порта коллектора>/tcp –permanent
      2. firewall-cmd --reload

   Коллектор KUMA будет установлен, и статус сервиса коллектора KUMA изменится на зеленый в веб-интерфейсе KUMA.

4. Создание агента KUMA.

   При создании агента KUMA выполните следующие действия:

   1. Выберите вкладку Подключение 1.
   2. В блоке параметров Коннектор раскрывающемся списке Коннектор выберите Создать и укажите следующие параметры:
      1. В раскрывающемся списке Тип выберите тип коннектора etw.
      2. В поле Имя сессии введите имя поставщика, которое вы указали при настройке получения событий DNS-сервера с помощью коннектора ETW на стороне Windows.
   3. В блоке параметров Точки назначения в раскрывающемся списке Точка назначения выберите Создать и укажите следующие параметры:
      1. В раскрывающемся списке Тип выберите тип точки назначения tcp.
      2. В поле URL введите FQDN и номер порта, на котором коллектор KUMA будет ожидать соединения от агента KUMA. Введенное значение должно совпадать со значением, которое вы указали на 2-м шаге мастера установки коллектора.
   4. Выберите вкладку Дополнительные параметры и в поле Размер дискового буфера введите 1073741824.
5. Создание сервиса агента KUMA.

   Вам нужно скопировать идентификатор созданного сервиса агента KUMA. Для этого нажмите на правую кнопку мыши рядом с сервисом агента KUMA и в контекстном меню выберите пункт Копировать идентификатор.

6. Создание учетной записи для агента KUMA.

   Создайте доменную или локальную учетную запись Windows для запуска агента KUMA и обеспечения доступа к чтению аналитического журнала. Вам нужно добавить созданную учетную запись в группу пользователей Пользователи журналов производительности (англ. Performance Log Users group), а также назначить этой учетной записи право Вход в качестве службы (англ. Log on service).

7. Установка агента KUMA на Windows-сервере.

   Вам нужно установить агент KUMA на Windows-сервере, который будет обеспечивать прием событий от поставщика. Для этого выполните следующие действия:

   1. Добавьте FQDN сервера KUMA Core в файл hosts на Windows-сервере, либо на DNS-сервер.
   2. Создайте директорию C:\Users\<имя пользователя>\Desktop\KUMA на Windows-сервере.
   3. Скопируйте файл kuma.exe из архива пакетов установки KUMA в директорию C:\Users\<имя пользователя>\Desktop\KUMA.

      

   4. Запустите командную строку от имени администратора.
   5. Перейдите в директорию C:\Users\<имя пользователя>\Desktop\KUMA и выполните команду:

      C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA>

      В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы убедитесь, что сервис агента KUMA был запущен и его статус изменился на зеленый, после чего прервите выполнение команды.

   6. Запустите установку агента KUMA одним из следующих способов:
      • Если вы хотите запустить установку агента KUMA с использованием доменной учетной записи, выполните команду:

        C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <домен>\<имя учетной записи для агента KUMA> --install

      • Если вы хотите запустить установку агента с использованием локальной учетной записи, выполните команду:

        C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <имя учетной записи для агента KUMA> --install

      Вам потребуется ввести пароль учетной записи для агента KUMA.

   На Windows-сервере будет установлен сервис KUMA Windows Agent <идентификатор сервиса агента KUMA>. Если в веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы сервис агента KUMA не запущен и имеет красный статус, вам нужно убедиться в доступности портов 7210, а также порта коллектора Windows по направлению от агента KUMA к коллектору KUMA.

   Для удаления сервиса агента KUMA на Windows-сервере выполните команду:

   C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --id <идентификатор сервиса агента KUMA> --uninstall

8. Проверка поступления событий DNS-сервера в коллектор KUMA.

   Вы можете проверить, что настройка получения событий DNS-сервера с помощью коннектора ETW выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка на стороне Windows

Чтобы настроить получение событий DNS-сервера с помощью коннектора ETW на стороне Windows:

1. Запустите Просмотр событий (англ. Event viewer), выполнив команду:

   eventvwr.msc

2. В открывшемся окне перейдите в директорию Журналы приложений и служб → Microsoft → Windows → DNS-Server.
3. Откройте контекстное меню директории DNS-Server и выберите пункт Вид → Отобразить аналитический и отладочный журналы.

   

   Отобразится отладочный журнал Audit и аналитический журнал Analytical.

4. Настройте аналитический журнал:
   1. Откройте контекстное меню аналитического журнала Analytical и выберите пункт Свойства.

      

   2. В открывшемся окне убедитесь, что в поле Макс. размер журнала (КБ) указано значение 1048576.

      

   3. Установите флажок Включить ведение журнала и в открывшемся окне подтверждения нажмите на кнопку ОК.

      

      Параметры аналитического журнала должны быть настроены следующим образом:

      

   4. Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.

   Отобразится окно с ошибкой.

   

   При включенной ротации аналитического журнала события не отображаются. Для просмотра событий в панели Действия нажмите на кнопку Остановить журнал.

   

5. Запустите Управление компьютером (англ. Computer management) от имени администратора.
6. В открывшемся окне перейдите в директорию Служебные программы → Производительность → Сеансы отслеживания событий запуска.

   

7. Создайте поставщика:
   1. Откройте контекстное меню директории Сеансы отслеживания событий запуска и выберите пункт Создать → Группа сборщиков данных.

      

   2. В открывшемся окне введите имя поставщика и нажмите на кнопку Далее.

      

   3. Нажмите на кнопку Добавить... и в открывшемся окне выберите поставщика Microsoft-Windows-DNSServer.

      

      Агент KUMA с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer.

   4. Дважды нажмите на кнопку Далее, после чего нажмите на кнопку Готово.
8. Откройте контекстное меню созданного поставщика и выберите пункт Запустить как сеанс отслеживания событий.

   

9. Перейдите в директорию Сеансы отслеживания событий.

   Отобразятся сеансы отслеживания событий.

10. Откройте контекстное меню созданного сеанса отслеживания событий и выберите пункт Свойства.
11. В открывшемся окне выберите вкладку Сеансы отслеживания и в раскрывающемся списке Режим потока выберите Режим реального времени.

    

12. Нажмите на кнопку Применить, после чего нажмите на кнопку ОК.

Настройка получения событий DNS-сервера с помощью коннектора ETW будет завершена.