Модуль DNS
Модуль DNS осуществляет обратный поиск DNS записей по IP-адресу. Ответы с ошибкой и успешные ответы кэшируются в раздельном кэше на период ttl.
Коллектор будет использовать собственный встроенный механизм DNS без взаимодействия с операционной системой. Чтение значений в /etc/hosts не производится.
Модуль может значительно снизить скорость обработки событий. Увеличение размера кэша и длительности нахождения записей в кэше может ускорить работу модуля, но при большом количестве разных IP адресов в событиях может привести к чрезмерному потреблению памяти на коллекторе.
Регулярное выражение:
processors:
# Модуль определения обратного поиска адреса хоста по IP адреса на DNS серверах
- module: dns
# поля, в которых искать IP адреса
# формат: поле_события(ip):целевое_поле(host)
fields:
ECS.Source.IP: ECS.Source.Hostname
ECS.Destination.IP: ECS.Destination.Hostname
# Raw: ECS.Destination.Hostname
# действие если целевое поле уже заполнено значением
# append - добавить (строка, через запятую), replace - заменить
action: replace
# параметры кэширования успешных запросов к DNS серверам
success_cache:
# минимальное число элементов в кэше
capacity.initial: 1000
# максимальное число элементов в кэше
capacity.max: 10000
# длительность хранения записей в кэше
min_ttl: 1m
# параметры кэширования ошибок в запросах к DNS серверам
# число
failure_cache:
# минимальное число элементов в кэше
capacity.initial: 1000
# максимальное число элементов в кэше
capacity.max: 10000
# длительность хранения записей в кэше
ttl: 1m
# список DNS серверов, если не указаны - будут использоваться
# из /etc/resolv.conf .
# Для WMI агента указывать обязательно.
nameservers: ['10.0.0.2', '77.88.8.8', '77.88.8.1']
# Максимальная продолжительность запроса к DNS серверу. Если указано
# несколько серверов, общая максимальная продолжительность запроса
# будет кратна значению timeout.
timeout: 500msПример исходного события:
8.8.8.8