Настройка получения событий DNS-сервера с помощью коннектора ETW

Коннектор Event Tracing for Windows (далее также коннектор ETW) – это механизм регистрации событий, генерируемых программами и драйверами на DNS-сервере. Коннектор ETW можно использовать для устранения ошибок во время разработки или для поиска вредоносной активности.

Влияние коннектора ETW на производительность DNS-сервера незначительно. Например, DNS-сервер, работающий на современном оборудовании и получающий до 100 000 запросов в секунду (QPS), может испытывать снижение производительности на 5% при использовании коннектора ETW. Если DNS-сервер получает до 50 000 запросов в секунду, снижения производительности не наблюдается. Рекомендуется контролировать производительность DNS-сервера при использовании коннектора ETW, независимо от количества запросов в секунду.

По умолчанию вы можете использовать коннектор ETW для устройств с версией операционной системой Windows Server 2016 и выше. Коннектор ETW также поддерживается Windows Server 2012 R2, если установлено обновление для ведения журнала событий и аудита изменений. Обновление доступно на сайте технической поддержки Microsoft.

Коннектор ETW состоит из следующих компонентов:

Поставщик это программное обеспечение, которое генерирует события и отправляет их в коннектор ETW. Например, в качестве поставщиков могут выступать ядра Windows или драйверы устройств. При работе с кодом разработчикам нужно указать, какие события поставщики должны отправлять коннектору ETW. Событие может представлять выполнение функции, которую разработчик считает важной, например, функции, которая разрешает доступ к диспетчеру учетных записей безопасности (SAM).
Потребитель это программное обеспечение, которое получает и использует события, генерируемые поставщиками из коннектора ETW. Например, роль потребителя может выполнять KUMA.
Контроллеры это программное обеспечение, которое управляет взаимодействием между поставщиками и потребителями. Например, контроллерами могут быть утилиты Logman или Wevtutil. Поставщики регистрируются в контроллере для отправки событий потребителям. Контроллер может включать или выключать поставщика. Если поставщик выключен, он не генерирует события.
Контроллеры используют сеансы трассировки для связи между поставщиками и потребителями. Сеансы трассировки также используются для фильтрации данных по указанным параметрам, так как потребителям могут потребоваться другие события.

Настройка получения событий DNS-сервера с помощью коннектора ETW состоит из следующих этапов:

Настройка на стороне Windows.
Создание коллектора KUMA.
При создании коллектора KUMA выполните следующие действия:
1. На шаге 2 мастера установки коллектора:
  1. В раскрывающемся списке Тип выберите тип коннектора tcp. Вы также можете указать тип коннектора http и другие типы коннектора с проверкой для безопасной передачи.
  2. В поле URL введите полное доменное имя и номер порта, на котором коллектор KUMA будет прослушивать соединение от агента KUMA. Вы можете указать любой незанятый номер порта.
  3. В поле Разделитель введите \n.
2. На шаге 3 мастера установки коллектора в раскрывающемся списке Нормализатор выберите нормализатор. Рекомендуется выбрать предопределенный расширенный нормализатор для событий Windows [OOTB] Microsoft DNS ETW logs json.
3. На шаге 7 мастера установки коллектора добавьте тип точки назначения Хранилища для хранения событий. Если вы планируете использовать корреляцию событий, вам также нужно добавить точку назначения с типом Коррелятор.
4. На шаге 8 мастера установки коллектора нажмите на кнопку Создать и сохранить сервис и скопируйте команду установки коллектора KUMA на сервер в нижней части окна.
Установка коллектора KUMA на сервере.
Выполните следующие действия:
1. Подключитесь к интерфейсу командной строки KUMA, используя учетную запись пользователя с правами root.
2. Установите коллектор KUMA, выполнив команду, которую вы скопировали на шаге 8 мастера установки коллектора.
3. Если вы хотите добавить порт коллектора KUMA в исключения сетевого экрана и обновить параметры сетевого экрана, выполните следующие команды:
  1. firewall-cmd --add-port=<collector port number>/tcp --permanent
  2. firewall-cmd --reload
Коллектор KUMA установлен и статус службы коллектора KUMA изменен на зеленый в Консоли KUMA.
Создание агента KUMA.
При создании агента KUMA выполните следующие действия:
1. Перейдите на вкладку Подключение 1.
2. В разделе Коннектор в раскрывающемся списке Коннектор выберите Создать и укажите следующие параметры:
  1. В раскрывающемся списке Тип выберите тип коннектора etw.
  2. В поле Имя сеанса введите имя поставщика, которое вы указали при настройке получения событий DNS-сервера с помощью коннектора ETW на стороне Windows.
3. В разделе Точка назначения в раскрывающемся списке Точка назначения выберите Создать и укажите следующие параметры:
  1. В раскрывающемся списке Тип выберите тип точки назначения tcp.
  2. В поле URL введите полное доменное имя и номер порта, на котором коллектор KUMA будет прослушивать соединение от агента KUMA. Значение должно соответствовать значению, которое вы указали на шаге 2 мастера установки коллектора.
4. Перейдите на вкладку Дополнительные параметры и в поле Размер дискового буфера введите 1073741824.
Создание сервиса агента KUMA.
Вам нужно скопировать идентификатор созданного сервиса агента KUMA. Для этого выберите в контекстном меню сервиса агента KUMA пункт Копировать идентификатор.
Создание учетной записи для агента KUMA.
Создайте доменную или локальную учетную запись пользователя Windows для запуска агента KUMA и чтения журнала событий. Вам нужно добавить созданную учетную запись пользователя в группу Пользователи журнала производительности и предоставить ей право Вход в качестве службы.
Установка агента KUMA на сервере Windows.
Вам необходимо установить агент KUMA на сервер Windows, который будет получать события от поставщика. Для этого выполните следующие действия:
1. Добавьте FQDN-имя сервера Ядра KUMA в файл hosts на сервере Windows или на DNS-сервере.
2. Создайте папку C:\Users\<имя пользователя>\Desktop\KUMA на сервере Windows.
3. Скопируйте файл kuma.exe из архива инсталляционного пакета KUMA в папку C:\Users\<имя пользователя>\Desktop\KUMA.
4. Запустите командный интерпретатор от имени администратора.
5. Перейдите в папку C:\Users\<имя пользователя>\Desktop\KUMA и выполните следующую команду:
  C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA>
  
  В Консоли KUMA в разделе Ресурсы → Активные службы убедитесь, что сервис агента KUMA запущен, статус сервиса зеленый и отмените команду.
6. Запустите установку агента KUMA одним из следующих способов:
  - Если вы хотите запустить установку агента KUMA с использованием доменной учетной записи пользователя, выполните следующую команду:
    C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <домен>\<имя учетной записи пользователя агента KUMA> --install
  - Если вы хотите запустить установку агента KUMA с использованием локальной учетной записи пользователя, выполните следующую команду:
    C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <имя учетной записи пользователя агента KUMA> --install
  Вам нужно ввести пароль учетной записи пользователя агента KUMA.
Сервис агента KUMA <идентификатор сервиса агента KUMA> установлен на сервере Windows. Если в Консоли KUMA в разделе Ресурсы → Активные сервисы, сервис агента KUMA не запущен и имеет красный статус, необходимо убедиться, что доступен порт 7210 и порт коллектора Windows в направлении от агент KUMA к коллектору KUMA.

Чтобы удалить сервис агента KUMA на сервере Windows, выполните следующую команду:

C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --id <идентификатор сервиса агента KUMA> --uninstall
Проверка поступления событий DNS-сервера в коллектор KUMA.
Вы можете проверить правильность настройки получения событий DNS-сервера с помощью коннектора ETW в разделе Поиск связанных событий Консоли KUMA.

В этом разделе

Конфигурация на стороне Windows

В начало