DNS обогащение
DNS обогащение — это процесс наполнения событий дополнительной информацией на основе DNS-записей о доменах и IP-адресах.
При поступлении событий, в зависимости от источника, может быть разная комбинация заполненных полей. Обогащение выполняется только для комбинации из трех полей IP, hostname, fqdn.
Возможность использования DNS обогащения настраивается в разделе Администрирование → Кластер → вкладка Управление конфигурацией, где в древовидном списке нужно выбрать Enrich → DNS и настроить следующие параметры:
- Включить обогащение с DNS сервера;
- Предзагрузка из файла;
- Список локальных DNS серверов.
Пример параметров DNS обогащения, при создании правила обогащения, приведен на рисунке 1.
Рисунок 1 – Параметры DNS обогащения
Для DNS обогащения настраиваются следующие поля:
- Поле таксономии FQDN;
- Поле таксономии IP;
- Поле таксономии HOSTNAME.
Принцип работы: Если при сработке правила, хотя бы одно из выбранных полей заполнится значением/значениями, то сервис обработки событий попробует восстановить остальные поля. При этом сервис будет использовать DNS-сервер, который задается в разделе Администрирование → Кластер → вкладка Управление конфигурацией.
В случаях, когда все три поля таксономии заполнены, или наоборот - пустые, обогащение завершается.