我们的环境中有一台主机正在尝试对已知的 Sinkhole 地址进行 DNS 查找。DNS 服务器正在运行 Windows Server 2012。
我们无法在我们的环境中找到主机。
我在 Google 和 Stack Exchange 上查找过,但我找不到关于需要启用哪些确切日志或审计以便跟踪发出此请求的主机(IP 或 MAC 地址)的信息?
答案1
为此,请在 DNS 服务器上启用调试日志记录。
- 打开DNS 管理器来自工具服务器管理器菜单
- 右键单击左侧窗格中的 DNS 服务器,然后单击特性
- 点击调试日志选项卡并检查用于调试的日志数据包复选框
- 为了最大限度地减少记录的数据量,取消选中以下复选框:
- 数据包方向 - 传出
- 传输协议-TCP
- 数据包内容 - 更新
- 数据包类型-响应
- 在里面日志档案部分,输入日志的路径和文件名。更改最大大小(字节)如果需要的话,可以赋值。
- 点击好的。
当客户端查询 DNS 服务器时,您将在日志文件中看到如下内容(在本例中,客户端对 superuser.com 执行了查询):
16-07-2017 19:51:55 0DB4 PACKET 000000FA30FDFB60 UDP Rcv 10.10.10.100 000a Q [0001 D NOERROR] A (9)superuser(3)com(0)
之后的 IP 地址接收量(10.10.10.100) 是执行查询的客户端的 IP 地址。
记住当不再需要 DNS 服务器上的调试日志记录时,请禁用它,因为它会影响服务器的性能。
答案2
我们已经能够使用它来记录 DC 上的 DNS 活动。我们根据以下信息将其与每小时日志轮换配对:http://support.moonpoint.com/blog/blosxom/2014/12/07#rotatednslog
我们遇到了许多 DNS 日志最终变成 0 字节文件的问题,而且这似乎不是基于活动,因为可能是在半夜。我将 DC 从 4 GB RAM 增加到 6 GB(保留 2 个 vCPU),此后 8 天都没有出现问题,所以我认为我们没问题。
我们将日志存储在 NTFS 压缩目录中的专用卷上以节省空间。压缩前每个每小时日志的大小约为 300 MB,NTFS 压缩后约为 115 MB。