配置 DNS 活动 - BlueCat Integrity - 9.5.0

以下部分概述了配置 DNS 活动的步骤。

1. 从配置下拉菜单中，选择配置。
2. 选择服务器选项卡。选项卡会记住上次处理的页面，因此请再次选择该选项卡以确保您在配置信息页面上。
3. 在服务器下，单击 BDDS 的名称。将打开服务器的详情选项卡。
4. 单击服务器名称菜单，然后选择服务配置。
5. 从服务类型下拉菜单中，选择运行状况遥测部分下的DNS 活动。Address Manager 查询服务器并返回服务设置的当前值。
6. 在通用设置下，设置以下参数：
   • 启用 DNS 活动 — 选中此复选框可启用 DNS 活动服务，取消选中此复选框可禁用 DNS 活动服务。
     注： 启用 DNS 活动后，DNS/DHCP 服务器上的防火墙规则将被修改，以允许所指定的 URI 端点上的出口。指定的 IP 地址允许出站流量。
     注意： 启用 DNS 活动服务是资源密集型操作，可能会影响 DNS/DHCP 服务器的性能。
   • 输出类型 — 选择 DNS 活动数据将记录到的位置。可以将数据记录到 HTTP 端点、Splunk 服务器、Kafka 集群或 Elasticsearch 服务器。
     如果选择 HTTP，将显示以下字段：

     • 输出 URI — 输入将使用 DNS 查询和响应信息的 HTTP 端点的 URI。
       注：

       • BlueCat 建议在此字段中输入端点的 IP 地址。如果输入主机名，则必须使用不同的 DNS 服务器作为该主机的解析器。您在其上配置 DNS 活动的 DNS/DHCP 服务器仍然可以用作客户端的解析器，但不能用作其自身 OS 相关查找的解析器。
       • 如果在 URI 中使用域名，必须保证可以在 DNS/DHCP 服务器上解析域名.
       • 输出 URI 字段的 URI 必须遵循 RFC2396 中所述的格式。
     • 持有者令牌（可选） — 输入用于对 HTTP 端点进行认证的持有者令牌。
     • 运行状况检查 — 选中此复选框可启用运行状况检查服务，取消选中此复选框可禁用运行状况检查服务。在初始化时，运行状况检查可确保下游服务可访问，且可接受 DNS 查询数据。
     • 运行状况检查 URI — 输入将使用运行状况检查信息的 HTTP 端点的 URI。
       注： 运行状况检查 URI 字段的 URI 必须遵循 RFC2396 中所述的格式。
     如果选择 Splunk，将显示以下字段：

     • 主机 — 输入 Splunk HEC 主机的 URI。Splunk Enterprise 中 HEC URI 的标准格式如下：

       <protocol>://<FQDN or IP address of the host only>:<port>

       注：

       • BlueCat 建议在此字段中输入端点的 IP 地址。如果输入主机名，则必须使用不同的 DNS 服务器作为该主机的解析器。您在其上配置 DNS 活动的 DNS/DHCP 服务器仍然可以用作客户端的解析器，但不能用作其自身 OS 相关查找的解析器。
       • 如果在 URI 中使用域名，必须保证可以在 DNS/DHCP 服务器上解析域名.
       • 请确保完全遵循上述 HEC URI 格式，而未添加或省略任何部分。端口是必需的，即使是默认端口。不要在 URI 中包含额外的斜杠或文件夹。
       • 主机字段的 URI 必须遵循 RFC2396 中所述的格式。
     • 令牌 — 输入 Splunk HEC 令牌。
     • 运行状况检查 — 选中此复选框可启用运行状况检查服务，取消选中此复选框可禁用运行状况检查服务。在初始化时，运行状况检查可确保下游服务可访问，且可接受 DNS 查询数据。
       注： 选中此复选框后，DNS/DHCP 服务器将在 /services/collector/health/1.0 中使用默认的 Splunk 运行状况检查端点。
     如果选择 Kafka，将显示以下字段：

     • 主题 — 输入要将事件写入到的 Kafka 主题的名称。
     • 引导服务器 — 输入以逗号分隔的主机和端口对列表，这些主机和端口对是“引导” Kafka 集群中的 Kafka 代理的地址，Kafka 客户端将连接到该集群以实现初始自我引导。此字段支持 IPv4、IPv6 和 FQDN 值。

       示例：10.14.22.123:9092,10.14.23.332:9092

       注：

       • BlueCat 建议在此字段中使用 IP 地址。如果输入主机名，则必须使用不同的 DNS 服务器作为该主机的解析器。您在其上配置 DNS 活动的 DNS/DHCP 服务器仍然可以用作客户端的解析器，但不能用作其自身 OS 相关查找的解析器。
       • 不要在 Kafka 代理的地址中包含 http 或 https。
       • 如果使用域名，必须保证可以在DNS/DHCP 服务器上解析域名.
     • 键字段（可选） — 输入用于主题键的日志字段名称或标签键。如果日志或标签中不存在字段，则将使用空白值。如果未指定，则不发送键。Kafka 使用键的散列来选择分区，或者如果记录没有键，则使用轮询。
     • 运行状况检查 — 选中此复选框可启用运行状况检查服务，取消选中此复选框可禁用运行状况检查服务。在初始化时，运行状况检查可确保下游服务可访问，且可接受 DNS 查询数据。
       注： 根据 Kafka Broker 地址配置运行状况检查 URI。
     如果选择 Elasticsearch，将显示以下字段：

     • 端点 — 输入要将日志发送到的 Elasticsearch 端点。此字段支持 IPv4、IPv6 和 FQDN 值。

       示例：http://10.24.32.122:9000

       示例：https://example.com

       示例：https://user:password@example.com

       注：

       • BlueCat 建议在此字段中使用端点的 IP 地址。如果输入主机名，则必须使用不同的 DNS 服务器作为该主机的解析器。您在其上配置 DNS 活动的 DNS/DHCP 服务器仍然可以用作客户端的解析器，但不能用作其自身 OS 相关查找的解析器。
       • 如果使用域名，必须保证可以在 DNS/DHCP 服务器上解析域名.
     • 索引 — 输入要将事件写入到的 Elasticsearch 索引名称。
     • 用户 — 输入基本认证用户名。
     • 认证 — 输入基本认证密码。
     • 运行状况检查 — 选中此复选框可启用运行状况检查服务，取消选中此复选框可禁用运行状况检查服务。在初始化时，运行状况检查可确保下游服务可访问，且可接受 DNS 查询数据。
       注： 根据 Elasticsearch 实例配置运行状况检查 URI。
   • TLS 选项 — 选中此复选框可配置 TLS 选项。
     注意： 如果在配置输出时在 输出 URI、运行状况检查 URI、主机、引导服务器或端点字段中输入 HTTPS 端点，则必须选中此复选框并输入 TLS 信息。
     • 在 CA 证书上传下，单击浏览并找到将用于验证远程主机的 TLS 服务器证书上的 CA 签名的 CA 证书（受信任的第三方或自签名）。
       注： 包含 CA 证书或证书包的文件必须为 PEM 格式。为确保 TLS 握手成功，上传到客户端 (BDDS) 的 CA 证书应当与服务器用于验证其 TLS 服务器证书的 CA 签名的 CA 证书（和适用的中间证书）相同。可以通过浏览器导出或其他可信来源获取 CA 证书，并将其转换为 PEM 格式。
     • 单击上传以上传 CA 证书。
     • 选中验证证书复选框以尝试使用上传的 CA 证书与远程主机的 TLS 服务器证书进行 TLS 握手。
       注： 验证证书不会验证所上传证书的真实性。此上下文中的验证证书仅检查 CA 证书是否与 TLS 服务器证书准确匹配以创建成功的握手。
       注： 如果验证证书发生错误，则可能需要在 DNS/DHCP 服务器上手动安装 CA/链式 CA 证书。有关手动安装说明，请参阅 BlueCat 客户服务中心门户上的 KB-17944。
     • 选中验证主机名复选框以在 TLS 握手期间根据服务器证书的 CN（公共名称）或 SAN（使用者可选名称）验证 URI 的主机名部分。
       注： 如果使用自签名证书，建议用户添加带有 IP 地址的主题备用名称（请参阅 RFC 5280 4.2.1.6），或禁用验证主机名检查。
7. 在缓冲区下，设置以下参数：
   注意： DNS/DHCP 服务器 v9.4.0 及更高版本更改了缓冲区设置

   从 DNS/DHCP 服务器 v9.4.0 开始，磁盘缓冲区设置不再可用。如果之前在 DNS/DHCP 服务器 v9.3.0 上使用磁盘缓冲区设置配置了 DNS 活动服务，并升级 DNS/DHCP 服务器 v9.4.0 或更高版本，缓冲区设置将在重新配置 DNS 活动服务时更新到内存。

   • 最大事件数 — 输入要存储在内存缓冲区中的 DNS 事件的最大数量。最大值为 64,000,000 个事件。
     注： 您可以根据发送到 DNS/DHCP 服务器的每秒查询数 (QPS) 最大可能值以及端点处理事件的速度为该字段输入一个值。例如，如果您的环境中的 QPS 最大可能值是 20,000，则可以将此字段的值设置为 200,000，以确保在端点处理查询的速度较慢时，将 10 秒的事件存储在 DNS 活动缓冲区中。
8. 在过滤器（可选）下，设置以下参数：
   注： 最多可以配置 10 个排除过滤器。

   • 要排除的类别 — 选择要从日志记录中排除的 DNS 事件类别。您可以根据域名、查询、响应或源地址排除 DNS 事件。
     注：

     • 在同一个 DNS 活动配置中，不能同时配置子类别设置为全部的查询排除类别和子类别设置为全部的响应排除类别。
     • 使用查询或响应类别过滤内容时，某些情形下将无法生成事件消息。有关更多信息，请参阅情形：没有生成 DNS 活动事件消息。
   • 子类别 — 选择要从日志记录中排除的 DNS 消息类型。当您选择查询或响应作为要排除的类别时，将出现此字段。
     可以配置为要排除的 DNS 消息类型如下所示：

     • 全部 — 排除所有查询或响应，无论消息类型如何。
     • 客户端 — 排除客户端查询或响应。
     • 认证 — 排除权威查询或响应。
     • 解析器 — 排除解析器查询或响应。
     • 转发器 — 排除转发器查询或响应。
     • 更新 — 排除更新查询或响应。

     有关 DNS 消息类型的更多信息，请参阅参考：DNS 活动事件消息示例。

   • 域名 — 输入要从日志记录中排除的域名。当您选择域名作为要排除的类别时，将出现此字段。
     注： 域名仅支持在最左侧的位置使用通配符字符。例如，*.example.com 或 *-host.example.com。
   • 源地址 — 输入要从日志记录中排除的使用 CIDR 表示法的 IPv4 或 IPv6 块。例如，192.0.2.0/24 或 2001:6789::/64。当您选择查询地址作为要排除的类别时，将出现此字段。

   注意：

   • 过滤器排除将按它们出现的顺序实施。您可以使用上移、下移和移除来修改列表内容和排除实施的顺序。BlueCat 建议按从精细到宽泛的范围排除内容。例如，查询排除应排在列表的较上面部分，排在顶级域和子域排除的前面。
   • 对于同一要排除的类别的过滤器排除，当基于出现的第一个排除类别应用时，它们将分成一组。例如，如果在过滤器（可选）部分添加了以下过滤器：
     • 源地址 10.10.10.0/24
     • 查询 Client
     • 域名 example.com
     • 源地址 10.10.11.0/24
     过滤器应用如下：
     • 源地址 10.10.10.0/24、10.10.11.0/24
     • 查询 Client
     • 域名 example.com
9. 单击更新。
   如果您尚未在 DNS/DHCP 服务器上配置 DNS 服务，则在单击更新后，必须在 DNS/DHCP 服务器上执行 DNS 部署，才能生成 DNS 活动事件。如果已在 DNS/DHCP 服务器上配置 DNS 服务，则在单击更新时可启用 DNS 活动服务。

   在 DNS 活动状态下，可以验证 DNS/DHCP 服务器上是否正在运行 DNS 活动日志服务。

   此服务会对发送到已配置目标的数据执行批处理。批处理会在其存在时间达到 1 秒或批处理的大小达到 1049000 字节时在系统中进行刷新，然后发送到已配置的目标。

   如果此服务收到 HTTP 响应状态代码 429 或超过 500 的数字（501 除外），则此服务会尝试重新发送失败的请求 5 次。如果此服务在尝试 5 次后，仍然无法发送失败的请求，系统将丢弃事件消息并在日志中记录错误消息。