Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Настройка журналирования событий переноса зоны DNS

Настройка журналирования событий переноса зоны DNS#

Настройка журналирования событий переноса зоны DNS на контроллере домена#

Настройка журналирования событий переноса зоны DNS на контроллере домена выполняется после предварительной настройки службы syslog-ng, а также настройки точки пересылки журналов в службе syslog-ng (создание файла конфигурации /etc/syslog-ng/siem/destination.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий переноса зоны DNS.

Для настройки журналирования событий переноса зоны на контроллере домена необходимо создать файл конфигурации /etc/syslog-ng/siem/output-dns-zone.conf с правами на чтение для всех пользователей и внести в него следующую информацию:

filter f_dnszone {
    message('AXFR') or message('IXFR');
};

log {
    source(s_src);
    filter(f_dnszone);
    destination(d_audit);
};

После выполнения действий необходимо перезапустить службу syslog-ng на контроллере домена с помощью команды:

systemctl restart syslog-ng

Настройка журналирования событий переноса зоны DNS на сервере аудита#

Настройка журналирования событий переноса зоны DNS на сервере аудита выполняется после предварительной настройки службы syslog-ng, а также настройки точки сбора журналов в службе syslog-ng (создание файла конфигурации /etc/syslog-ng/siem/source.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий переноса зоны DNS.

Для настройки журналирования событий переноса зоны на сервере аудита необходимо создать файл конфигурации /etc/syslog-ng/siem/input-dns-zone.conf с правами на чтение для всех пользователей и внести в него следующую информацию:

destination d_dnszone {
    file("/var/log/aldpro/dnszone.log" template("${MESSAGE}\n"));
};

filter f_dnszone {
    message('AXFR') or message('IXFR');
};

log {
    source(s_net);
    filter(f_dnszone);
    rewrite {
        subst(" .source.s_src", "", value("MESSAGE"));
    };
    destination(d_dnszone);
};

После выполнения действий необходимо перезапустить службу syslog-ng на сервере аудита с помощью команды:

systemctl restart syslog-ng
Содержание