Windows DNS Server-Wie finde ich heraus, wer eine Anfrage gestellt hat?

Wir haben einen Host in unserer Umgebung, der versucht, DNS-Lookup für eine bekannte Sinkhole-Adresse zu erhalten. Auf dem DNS-Server wird Windows Server 2012 ausgeführt.

Wir können den Host nicht in unserer Umgebung finden.

Ich habe bei Google und bei Stack Exchange nachgesehen, kann aber keine Informationen darüber finden, welche genauen Protokolle oder Audits aktiviert werden müssen, um den Host (IP-oder MAC-Adresse) zu verfolgen, der diese Anfrage stellt.

Author: FastEthernet, 2017-07-13
Source

2 answers

Aktivieren Sie hierfür die Debug-Protokollierung auf dem DNS-Server.

  1. Öffnen Sie DNS Manager im Menü Extras des Server Managers
  2. Rechtsklick auf den DNS-Server im linken Bereich und klicken Sie auf Eigenschaften
  3. Klicken Sie auf die Registerkarte Debug Logging und aktivieren Sie das Kontrollkästchen Log packets for debugging
  4. Um die protokollierte Datenmenge zu minimieren, deaktivieren Sie die folgenden Kontrollkästchen:
    • Paket richtung - Ausgehende Anrufe[9]}
    • Transport protocol - TCP -
    • Paketinhalt-Updates
    • Paketart-Antwort
  5. Geben Sie im Abschnitt Log file einen Pfad und Dateinamen für das Protokoll ein. Ändern Sie bei Bedarf den Wert Maximum size (Bytes).
  6. Klicken Sie auf OK.

geben Sie hier die Bildbeschreibung ein

Wenn der Client den DNS-Server abfragt, wird in der Protokolldatei eine Zeile wie die folgende angezeigt (in diesem Fall führte der Client eine Abfrage für superuser.com):

16-07-2017 19:51:55 0DB4 PACKET  000000FA30FDFB60 UDP Rcv 10.10.10.100    000a   Q [0001   D   NOERROR] A      (9)superuser(3)com(0)

Die IP-Adresse nach Rcv (10.10.10.100) ist die IP-Adresse des Clients, der die Abfrage ausgeführt hat.

DENKEN SIE DARAN, dass die Debug-Protokollierung auf dem DNS-Server deaktiviert, wenn sie nicht mehr benötigt wird, da dies die Leistung des Servers beeinträchtigen kann.

DNS-Protokollierung und Diagnose

 7
Author: FastEthernet,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2017-07-16 18:18:10

Damit konnten wir DNS-Aktivitäten auf unserem DCs protokollieren. Wir haben es mit einer stündlichen Protokollrotation kombiniert, basierend auf Informationen unter http://support.moonpoint.com/blog/blosxom/2014/12/07#rotatednslog

Wir hatten Probleme mit vielen DNS-Protokollen, die als 0-Byte-Dateien endeten, und es schien nicht auf Aktivität zu basieren, da es mitten in der Nacht sein könnte. Ich habe den DC von 4 auf 6 GB RAM erhöht (2 vCPU behalten) und es war seit den 8 Tagen kein Problem mehr, also ich denke, es geht uns gut.

Wir speichern die Protokolle auf einem dedizierten Volume in einem NTFS-komprimierten Verzeichnis, um Speicherplatz zu sparen. Die Größe jedes Stundenprotokolls beträgt ~ 300 MB vor der Komprimierung und ~ 115 MB nach der NTFS-Komprimierung.

 1
Author: SysAdmin,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2021-01-08 19:31:02