Live Discover を使用した DNS Protection データのクエリ
DNS Protection データのクエリは、脅威解析センターの Live Discover を使用して実行できます。Live Discover を使用すると、SQL クエリを使用して、「ログとレポート」のレポートよりも詳細なデータを取得できます。たとえば、ポリシーアクション、ドメイン、または場所ごとのクエリの数など、DNS Protectionデータをクエリできます。
Live Discover for DNS Protection を使用するには、「脅威解析センター > Live Discover」に移動して、「DNS Protection」をクリックします。Live Discover には、DNS Protection 向けの Data Lake クエリがいくつか組み込まれています。これらのクエリを使用したり、編集したり、新しいクエリを作成したりできます。これらのクエリを編集したり、新しいクエリを作成したりするには、「デザイナーモード」をオンにします。
注
DNS Protection の新しいクエリを作成する場合は、 「ソース」として「Data Lake」を選択します。
Live Discover を作成する方法の詳細は、Live Discoverを参照してください。
Data Lake スキーマ
使用可能なテーブルとデータの詳細については、スキーマビューアで Data Lake スキーマを参照してください。
スキーマビューアを開くには、次の手順を実行します。
- 「脅威解析センター > Live Discover」に移動して、「DNS Protection」をクリックします。
- 「デザイナーモード」がオンになっていることを確認します。
-
「クエリ」セクションでは、次の操作を行うことができます。
- クエリを編集するには、編集するクエリを選択して「編集」 をクリックします。
- クエリを作成するには、「新しいクエリの作成」をクリックします。
-
「SQL」ダイアログの右上隅にある「スキーマ」をクリックします。
スキーマビューアが新しいタブで開きます。
-
DNS Protection の場合は、「Data Lake」ドロップダウンリストで「ファイアウォール」を選択します。
現在、DNS Protection フィールド名はファイアウォールテーブル (xgfw_data) に含まれています。
DNS Protection フィールド名
次のテーブルに、Data Lake の DNS Protection フィールド名を示します。
| フィールド名 | 説明 |
|---|---|
| action | 適用されたポリシーに従って DNS クエリに対して実行されるアクション |
| バイト | DNS クエリサイズと DNS 応答サイズの合計 |
| dns_qid | DNS クエリID |
| dns_qname | DNS のクエリ名 |
| dns_qtype | DNS クエリの種類 |
| dns_duration | DNS 要求の持続時間 (ミリ秒単位) |
| ドメイン | 照会されたドメイン名 |
| domain_category | 照会されたドメインのカテゴリ |
| domain_risk | 照会されたドメインのリスクレベル |
| ヒット | DNS 要求数 |
| log_type | "DNS"は、DNS Protection ログであることを示します。 |
| log_component | "FE-DNS" は、DNS Protection ログであることを示します。 |
| object_name | ポリシーアクションが "Reject"で、"Reason" が "Custom Domain Block or Allow" の場合のドメインリストの名前 |
| protocol | DNS クエリで使用されるプロトコル |
| policy_name | アクションの実行に使用されたポリシーの名前 |
| query_class | DNS クエリクラス。通常は IN |
| query_flags | DNS 要求に関連付けられた DNS クエリフラグ |
| query_size | DNS クエリサイズ (バイト) |
| reason | ポリシーによってアクションが適用された理由 |
| response_code | DNS クエリの応答コード |
| response_records_num | DNS 応答のレコード数 |
| response_ip_num | DNS 応答に対して返された IP アドレスの数 |
| resolved_ip | DNS クエリが解決された IP アドレス |
| response_type | DNS 応答内の各 RRSet のDNS レコードの種類(A、AAAA、CNAME など) |
| response_name | 返される DNS レコードのドメイン名 |
| response_class | DNS 応答内の各 RRSet の DNS クエリクラス |
| response_ttl_list | DNS 応答内のレコードの TTL (Time-to-Live) のリスト |
| response_size | DNS 応答の合計サイズ (バイト) |
| response | DNS 応答テキスト |
| riskscore | 照会されたドメインに関連付けられたリスクスコア |
| security_status | DNSSEC が DNS クエリへの応答に対して検証されたかどうかについて |
| src_ip | DNS クエリの送信元の送信元 IP アドレス |
| src_port | DNS クエリの送信元の送信元ポート |
| src_location | DNS クエリの送信元の場所 |
| timestamp | DNS クエリが処理された時刻のタイムスタンプ |