コンテンツにスキップ

Live Discover を使用した DNS Protection データのクエリ

DNS Protection データのクエリは、脅威解析センターの Live Discover を使用して実行できます。Live Discover を使用すると、SQL クエリを使用して、「ログとレポート」のレポートよりも詳細なデータを取得できます。たとえば、ポリシーアクション、ドメイン、または場所ごとのクエリの数など、DNS Protectionデータをクエリできます。

Live Discover for DNS Protection を使用するには、「脅威解析センター > Live Discover」に移動して、「DNS Protection」をクリックします。Live Discover には、DNS Protection 向けの Data Lake クエリがいくつか組み込まれています。これらのクエリを使用したり、編集したり、新しいクエリを作成したりできます。これらのクエリを編集したり、新しいクエリを作成したりするには、「デザイナーモード」をオンにします。

DNS Protection の新しいクエリを作成する場合は、 「ソース」として「Data Lake」を選択します。

Live Discover を作成する方法の詳細は、Live Discoverを参照してください。

Data Lake スキーマ

使用可能なテーブルとデータの詳細については、スキーマビューアで Data Lake スキーマを参照してください。

スキーマビューアを開くには、次の手順を実行します。

  1. 脅威解析センター > Live Discover」に移動して、「DNS Protection」をクリックします。
  2. デザイナーモード」がオンになっていることを確認します。
  3. クエリ」セクションでは、次の操作を行うことができます。

    • クエリを編集するには、編集するクエリを選択して「編集」 をクリックします。
    • クエリを作成するには、「新しいクエリの作成」をクリックします。
  4. SQL」ダイアログの右上隅にある「スキーマ」をクリックします。

    スキーマビューアを開きます。

    スキーマビューアが新しいタブで開きます。

  5. DNS Protection の場合は、「Data Lake」ドロップダウンリストで「ファイアウォール」を選択します。

    ファイアウォールスキーマを選択します。

    現在、DNS Protection フィールド名はファイアウォールテーブル (xgfw_data) に含まれています。

DNS Protection フィールド名

次のテーブルに、Data Lake の DNS Protection フィールド名を示します。

フィールド名 説明
action 適用されたポリシーに従って DNS クエリに対して実行されるアクション
バイト DNS クエリサイズと DNS 応答サイズの合計
dns_qid DNS クエリID
dns_qname DNS のクエリ名
dns_qtype DNS クエリの種類
dns_duration DNS 要求の持続時間 (ミリ秒単位)
ドメイン 照会されたドメイン名
domain_category 照会されたドメインのカテゴリ
domain_risk 照会されたドメインのリスクレベル
ヒット DNS 要求数
log_type "DNS"は、DNS Protection ログであることを示します。
log_component "FE-DNS" は、DNS Protection ログであることを示します。
object_name ポリシーアクションが "Reject"で、"Reason" が "Custom Domain Block or Allow" の場合のドメインリストの名前
protocol DNS クエリで使用されるプロトコル
policy_name アクションの実行に使用されたポリシーの名前
query_class DNS クエリクラス。通常は IN
query_flags DNS 要求に関連付けられた DNS クエリフラグ
query_size DNS クエリサイズ (バイト)
reason ポリシーによってアクションが適用された理由
response_code DNS クエリの応答コード
response_records_num DNS 応答のレコード数
response_ip_num DNS 応答に対して返された IP アドレスの数
resolved_ip DNS クエリが解決された IP アドレス
response_type DNS 応答内の各 RRSet のDNS レコードの種類(A、AAAA、CNAME など)
response_name 返される DNS レコードのドメイン名
response_class DNS 応答内の各 RRSet の DNS クエリクラス
response_ttl_list DNS 応答内のレコードの TTL (Time-to-Live) のリスト
response_size DNS 応答の合計サイズ (バイト)
response DNS 応答テキスト
riskscore 照会されたドメインに関連付けられたリスクスコア
security_status DNSSEC が DNS クエリへの応答に対して検証されたかどうかについて
src_ip DNS クエリの送信元の送信元 IP アドレス
src_port DNS クエリの送信元の送信元ポート
src_location DNS クエリの送信元の場所
timestamp DNS クエリが処理された時刻のタイムスタンプ