我正在编写一个脚本来导出服务器上所有活动 DHCP 租约的信息,并且我想要获得租约创建时的时间戳。不幸的是,我们使用的 DHCP 服务不提供该信息,只提供到期时间。
我可以通过从到期时间中减去租约长度来获得创建时间吗?或者是否存在到期时间可能发生变化但并非由续订导致的情况。
答案1
是的,您可以从到期时间中减去租约长度。但是请注意,租约通常在租约半衰期时续订。例如,具有 4 小时租约的 DHCP 客户端将在仅 2 小时后尝试续订租约。因此,从技术上讲,该客户端的租约将为 6 小时,如果它继续续订,甚至可能更长。因此,只要您不关心总长度并且只对最后一次续订感到满意,那么这个数学公式就适合您。
但是大多数 DHCP 服务器都能够记录所有活动。例如,Windows DHCP 将其称为审计日志。一旦启用,它会将所有租约活动记录到 C:\Windows\System32\Dhcp。这些日志是 DHCP 活动的真正来源。它会记录租约的获取、释放和续订时间。安全人员喜欢这些数据,因为它可以帮助他们找到在特定时间/日期拥有特定 IP 的 MAC 地址。