Windows DNS 服务器 - 如何找出谁进行了查询?
Sea*_*Clt 6 networking dns windows-server-2012
我们的环境中有一台主机试图通过 DNS 查找已知的陷坑地址。DNS 服务器正在运行 Windows Server 2012。
我们无法在我们的环境中找到主机。
我在 Google 和 Stack Exchange 上查看过,但找不到有关需要启用哪些确切日志或审核以跟踪发出此请求的主机(IP 或 MAC 地址)的信息?
为此在 DNS 服务器上启用调试日志记录。
- 从服务器管理器的工具菜单打开DNS 管理器
- 右键单击左侧窗格中的 DNS 服务器,然后单击“属性”
- 单击调试日志选项卡并选中调试日志包复选框
- 要最大限度地减少记录的数据量,请取消选中以下复选框:
- 数据包方向 - 传出
- 传输协议 - TCP
- 数据包内容 - 更新
- 数据包类型 - 响应
- 在日志文件部分,输入日志的路径和文件名。如有必要,更改最大大小(字节)值。
- 单击“确定”。
当客户端查询 DNS 服务器时,您将在日志文件中看到如下一行(在这种情况下,客户端执行了对 superuser.com 的查询):
16-07-2017 19:51:55 0DB4 PACKET 000000FA30FDFB60 UDP Rcv 10.10.10.100 000a Q [0001 D NOERROR] A (9)superuser(3)com(0)
Rcv(10.10.10.100)后面的IP地址是执行查询的客户端的IP地址。
记住在不再需要 DNS 服务器时禁用调试日志,因为它会影响服务器的性能。
| 归档时间: |
|
| 查看次数: |
42025 次 |
| 最近记录: |