不幸的是,我打开了 DNS 清理;我需要检索的信息可能在事件查看器 DNS 日志中,但那里不再有,或者也许我没有正确查找它。
故事:我需要报告一台在我们的网络上进行可疑活动的机器。该活动发生在特定时间范围内。DNS/IP 此后已更改。我从安全团队获得的所有信息都是 IP 和时间范围。
问题:还有什么地方可以获取日志信息并追踪哪台机器在特定时间具有特定 IP?我还将要求网络查看交换机/网关方面的情况(可能将其确定为 Mac 地址或其他内容),但我希望能够找到一种从系统方面进行验证的方法。有什么想法吗?
答案1
您说 IP 已更改,这听起来像是您可能使用 DHCP 分配地址?检查 DHCP 日志文件 C:\Windows\system32\dhcp。使用时间和 IP 查找 MAC 地址,然后使用您的库存系统追踪该资产。https://technet.microsoft.com/en-us/library/dd183591%28v=ws.10%29.aspx
答案2
解决方案是访问当前拥有该 IP 的机器的系统日志。这是一台 OSX 机器,我能够grep 'IP ADDRESS' /var/log/* /dev/null
找到一个包含历史 IP 信息的日志文件。我发现它被保存了下来/var/log/daily.out
,并且我能够确认当前拥有该 IP 的机器在前 3 天也拥有相同的 IP,这回答了我的问题并获得了我需要的信息。
注意:DHCP 是需要检查的地方,如果我从 Windows 服务器运行 DHCP,@Craig620 的答案非常合适。我查看了 DHCP 端的网络,不幸的是他们无法检索任何日志,并且每 4 小时就会转储一次 arp。因此,客户端的日志给了我所需的信息,而无需依赖服务器/网络日志。