跳至內容
部分或全部頁面已經過機器翻譯。

使用實時發現查詢DNS Protection數據

您可以使用威脅分析中心的"實時發現"查詢DNS Protection數據。Live Discover允許您使用SQL查詢獲取比 日誌和報告中的報告更精細的數據。例如,您可以按策略動作,域或位置查詢DNS Protection數據,例如DNS查詢的數量。

要使用DNS Protection的實時發現,請進入 威脅分析中心 > 實時發現 ,然後單擊 DNS Protection(下一步)。Live Discover具有一些針對DNS Protection的內置Data Lake查詢。您可以使用這些查詢,編輯查詢或創建新查詢。要編輯這些查詢或創建新查詢,請打開 設計器模式

注意

如果要爲DNS Protection創建新查詢,請選擇 Data Lake 作爲

有關如何使用“實時發現”的信息,請參見 Live Discover

Data Lake 架構

有關可用表和數據的資訊,可以在架構查看器中查看Data Lake架構。

要打開架構查看器,請執行以下操作:

  1. 進入 威脅分析中心 > 實時發現 ,然後單擊 DNS Protection(下一步)。
  2. 確保 **** 已打開設計器模式。
  3. 您可以在 Sophos Central 中的 MTR 部分進行以下動作:

    • 要編輯查詢,請選擇要編輯的查詢,然後單擊 編輯
    • 若要建立查詢,請按一下 建立新查詢
  4. SQL 對話框的右上角,單擊 Schema (架構)。

    打開架構查看器。

    架構查看器將在新選項卡中打開。

  5. 對於DNS Protection,在 Data Lake (防火牆) 下拉列表中,選擇 Firewall(防火牆)。

    選擇防火牆架構。

    目前,防火牆表(xgfw_data)中包含DNS Protection字段名稱。

DNS Protection欄位名稱

下表介紹了Data Lake中的DNS Protection欄位名稱:

欄位名稱 說明
動作 根據應用的策略對DNS查詢進行動作
位元組 DNS查詢大小和DNS響應大小的總和
dns_qid DNS查詢ID
dns_qname DNS查詢名稱
dns_qtype DNS查詢類型
dns_duration DNS請求的持續時間(以毫秒為單位)
網域 查詢的域的名稱
domain_category 查詢域的種類
domain_risk 查詢域的風險級別
點擊率 DNS請求數
log_type "DNS"表示這是一個DNS Protection日誌
log_component "Fe-DNS"表示這是一個DNS Protection日誌
object_name 如果策略動作為"拒絕",且"原因"為"自定義域阻止或允許",則域列表的名稱
通訊協定 DNS查詢使用的協議
策略名稱 用於獲取動作的策略的名稱
query_class DNS查詢類,通常在中
query_flags 與DNS請求關聯的DNS查詢標誌
query_size DNS查詢大小(以位元組為單位)
理由 策略應用動作的原因
response_code DNS查詢的響應代碼
response_records_num DNS響應中的記錄數
response_ip_num 為DNS響應返回的IP地址數
resolved_ip DNS查詢解析到的IP地址
response_type DNS響應中每個RRSet的DNS記錄類型(例如,A,AAAA,CNAME)
響應名稱 返回的DNS記錄的域名
response_class DNS響應中每個RRSet的DNS查詢類
response_ttl_list DNS響應中記錄的生存時間(TTLS)列表
response_size DNS響應的總大小(以位元組為單位)
回應 DNS響應文本
riskscore 與查詢的域相關聯的風險分數
security_status DNSSEC是否已針對DNS查詢的回應進行驗證
src_ip DNS查詢來源的來源IP位址
src_port DNS查詢來源的來源連接埠
src_location DNS查詢的起始位置
時間戳記 處理DNS查詢的時間戳