5

У нас есть хост в нашей среде, который пытается получить DNS-запрос по поисковому адресу. DNS-сервер работает под управлением Windows Server 2012.

Мы не можем найти хост в нашей среде.

Я посмотрел на Google и Stack Exchange, но не могу найти информацию о том, какие именно журналы или аудит необходимо включить, чтобы отслеживать хост (IP или MAC-адрес), который делает этот запрос?

|источник

1 ответ1

5

Для этого включите ведение журнала отладки на DNS-сервере.

  1. Откройте диспетчер DNS из меню Сервис диспетчера сервера
  2. Щелкните правой кнопкой мыши DNS-сервер на левой панели и выберите Свойства
  3. Перейдите на вкладку « Отладка журнала » и установите флажок « Журналы пакетов для отладки»
  4. Чтобы минимизировать объем регистрируемых данных, снимите следующие флажки:
    • Направление пакета - Исходящий
    • Транспортный протокол - TCP
    • Содержимое пакета - Обновления
    • Тип пакета - Ответ
  5. В разделе « Файл журнала » введите путь и имя файла журнала. При необходимости измените значение максимального размера (в байтах).
  6. Нажмите ОК.

Когда клиент запрашивает DNS-сервер, вы увидите строку, подобную следующей в файле журнала (в этом случае клиент выполнил запрос для superuser.com):

16-07-2017 19:51:55 0DB4 PACKET  000000FA30FDFB60 UDP Rcv 10.10.10.100    000a   Q [0001   D   NOERROR] A      (9)superuser(3)com(0)

IP-адрес после Rcv (10.10.10.100) - это IP-адрес клиента, который выполнил запрос.

ПОМНИТЕ, чтобы отключить ведение журнала отладки на DNS-сервере, когда он больше не нужен, так как это может повлиять на производительность сервера.

DNS регистрация и диагностика

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .